简介：10月24日 记就只隔了一天，正在线上呢，突然看到21：00的时候cpu和负载又100%了，心想着不会又是上次那个吧，内存没变化说明又是一个挖矿病毒。但是就在我打算照旧登录SSH的时候，傻眼了，SSH密码错误！！！赶紧用腾讯云的快速登录，还是不行！！显示如下——简单说就是无效的密码。百度之后网友说，可能是端口没放行。那是发生在一开始用服务器的阶段。我这用着用着进不去，cpu占用率还是100%，明摆着就是被改了。用winscp也登录不进去，只好重启试试。重启之后这下可好，宝塔面板都进不去了，但是还好putty顺利的进去了，赶紧top一下命令看看哈哈哈还好，不是上次那个，但是还好找到了。老一套kill 9 [PID] //PID是top里查看的crontab l crontab r然后手动定位到那个文件夹，发现病毒还在，下载到电脑里，尝试用火绒测试一下——出现了，百度搜不到的，名为xri的病毒。重启服务器之后，cpu降下来了，宝塔也变快了，输入新的root密码之后，在宝塔终端面板看到，一个来自荷兰的IP，在尝试了176次之后，终于暴力试出了我的root弱密码——1234写完博客到现在，一切正常，在此记录一下。{lamp/}10月26日 记绝了，还在对我坚持不懈的试探密码！！哭了(ó﹏ò｡)现在已经换掉了SSH端口了！哼！

简介：昨晚兴致勃勃的部署好了MC，今早一看，cpu 100% 负载 100% ，心想不应该啊，于是抱着想看看是什么占用100%，是被人家攻击了还是中毒了，虽然觉得后者根本不可能，但是就是好奇，打开了ssh，运行了top，傻眼了——这是什么啊，kthreaddi?然后就百度了一下，大标题映入眼帘——服务器挖矿木马好家伙！查看了一下宝塔监控，从夜里3：40就开始疯狂输出了，那会都在睡觉，绝对是恶意的攻击，并非是昨晚我瞎整的java有恶意代码。于是着手解决吧，百度顺着链接就点开了——kill 9 [PID] //PID是top里查看的虽然进程消失了，但是他会自动重启，然后迅速的再次占领高地。根据百度到的提示，查看一下端口netstat ltnp什么888,22都是认识的，但是多了一个不知名的52239？端口，还有莫名的路径和PID，猜测应该是这个程序专门来启动病毒的。但是问题是无论是在腾讯云的放行端口防火墙，还是宝塔的安全面板，都没有放行这个端口，这就很疑惑了，就算同时kill这两个PID也依旧会自动重启。crontab l查看到了一只莫名的定时任务，并有文件的链接（没截图，文件名是六位字母数字随机组合，着急解决问题了，，顺着文件目录用winscp找下去，并没有找到这个文件，再次crontab l，文件路径竟然变了。迅速的手速将他下载下来，在windows上用火绒查杀了一下，果然是木马病毒。{card describe title="火绒报告"}病毒名：Trojan/CoinMiner.fa病毒ID：dc250bb45c51aaf{/card describe}既然解决不掉那就找centos的杀毒程序吧，但是又不想太麻烦，就去宝塔的自动任务差杀木马，结果并没有什么卵用。又去了宝塔论坛，结果看到了这个这就很气人了，于是再次运行crontab l crontab r直接删除任务计划，然后kill掉那两个PID（kthreaddi和启动他的程序）然后玄学的来了，前几次并不会有效果，他依旧会自动重启，但是在某一次运行crontab l后，显示了这个[root]# crontab l no crontab for root通常来说如果什么都不显示，他还是会反复重启，但是这次写的no crontab，果然就没有自动重启了，而且netstat ltnp也没有那个奇怪的端口了，就这样莫名的解决了。博文写完了，这时候再看下面板监控没毛病了你的服务器中过病毒么？