服务器被植入挖矿脚本处理过程

事情的起因经过

在当今互联网盛行的时代，很多客户的网站服务器被攻击，被入侵。博主前几天给一个客户的服务器部署项目，开始让客户准备服务器，拿到服务器后，我大意了，没去检查服务器，挖矿脚本应该是在客户刚买完后被植入的，博主一顿部署，完事就让客户去测试，我想项目都是在博主自己的测试服上测过的，应该没什么大问题。测了办客户那边突然发来一个阿里云客服的截图（服务器异常定时任务），博主倒没细看，以为是部署时自己添加的脚本被阿里云检测到了，也没在意。第二天客户那边说网站挂了，博主当时一脸懵逼，买的服务器比博主的配置高，测试服都一直正常运行的，怎么会出现如此骇人听闻的情况呢？于是博主就去看项目运行日志，但是日志显示没有异常，这就没道理了，博主想应该是项目刚部署出现不稳定情况吧，于是一顿重启服务，然后博主就去喝茶了。结果第二天客户那边质问博主，说项目又挂了。我去，这次实在忍不了了，博主打算找出罪魁祸首。愤怒会使一个人失去判断，于是博主坐下来冷寂分析，查看了CPU在50%以上，这就不正常了，一般这个项目最多20%已经很高了，而且还没有其它占用资源的进程。突然，博主想起了客户的截图，于是马不停蹄的登录客户的阿里云账户查看那个异常提醒，果不其然，博主发现阿里云提示的执行脚本不是博主自己的，当时博主细思极恐，最后判断出一个结果，被挖矿了，当时博主又喜又恨，喜的是终于找到罪魁祸首了，恨得是那个笨蛋对博主赤裸裸的挑衅，于是博主一顿操作，给他搞掉。

 

解决过程 

首先找出脚本文件，博主的被放在 /etc/目录下了，然后查找进程，用 kill -9 进程号杀掉

 

接着删除掉此脚本文件

 

 

然后检查是否有定时任务

 

 

接着删除掉定时任务

 

 然后再去看CPU恢复正常，到此结束，嘻嘻。