我的服务器接连被黑客攻击，我好难

码农天地 - 2020-11-19 05:57:58

最近在几台测试服务器上跑一些业务数据，但是过了几天服务器突然变的奇慢无比，敲个命令就像卡壳一样，有时候甚至都连接不上，最开始我以为是网络问题，就强行kill掉进程，重新跑一下进程，最后实在受不了，就上阿里云后台说重启下服务器吧，结果看到CPU的占用率已经到达了100%。

看到这样我以为是因为我跑了大量的数据导致CPU飙升的，然后我就kill到了进程，并且重启了服务器，启动之后CPU正常，我以为就是我跑数据导致的，此后我就没用这台服务器跑数据了，我就单纯的以为这就算处理好了，没想到等我过几天部署测试包的时候发现，又是奇慢无比，看了下CPU占用率又是99.9%，事实证明我还是太年轻了。

终于忍无可忍，就深究下吧，先用linux命令（top）查看下，到底是什么占用了这么多CPU资源，结果如下图：

看到的瞬间第一感觉就是，这是啥玩意，这是谁部署的。问了下平时身旁的背锅侠，好像也不是他弄的，看来这次这锅是甩不了了，那就只能...

What？中病毒了？

根据过往的经验，这玩意不应该是点了网页上的小姐姐才会发生的事情吗？我这为什么也就中毒了。

这东西是啥

既然已经中毒了，那就来看看这是什么东西吧。

挖矿病毒，大家身在同一个工地都应该或多或少都听过挖矿吧，要是挖到个币，就不用苦逼写文章了，话说回来，要想挖币需要很强的计算资源，那么也就需要众多的服务器来支撑，这里面有些逼呢又不想投入太多，只能通过一些恶毒的手段，将脚本植入的我们的服务器，比如我们需要安装一个Redis，那么像我英文不太好的人，可能第一时间不是去官网，而是找度娘，如果你正好找的资源里面被人植入了这种东西，那么很不凑巧，你的服务器可能要帮别人搞点东西了。

如何处理这种病毒

既然中了这种病毒，导致我们的服务器很卡，那么肯定要将它杀死，可能没怎么接触过Linux的同学，已经考虑重装镜像了。

其实大可不必。

首先呢我们找到此进程将其kill掉。

接下来删除kdevtmpfsi文件，一般在tmp目录下

还有一个文件（kinsing）我们也要将其杀死删掉

这里需要注意，我试了几台服务器kinsing文件可能存在不同的位置，但是我们可以通过上面的方式看到文件路径，将其找到删除就好。

这个时候我们通过top查看CPU的使用率，可以发现已经正常了

就在我以为万事大吉的时候，现实又给了我沉痛的一击，没过几分钟CPU使用率又到了99.96%，我要崩溃了。

跟度娘经过深入交流之后，终于知道了问题所在。

查看服务器的定时任务，crontab -l，大概会看到如下的任务，没有就不用管了，你可以将此ip查一下，一般都是国外的ip。

我们将这些定时任务删除即可，这个链接就是在我们kill到进程、删除文件之后进行下载，然后通过脚本再跑起来。