记一次阿里云服务器被中病毒处理过程

早上醒来看到阿里云的紧急通知短信，就马上进入App看下

 

1、起床之后，买了早饭没吃，先打开电脑，使用top查看服务器的运行状态，发现异常进程

 

根据进程名查询执行：

 ps -ef|grep xr

 

 

病毒执行命令： 执行的是一个xr文件，后面跟的是各个参数

./xr -o lplp.ackng.com:444 --opencl --donate-level=1 --nicehash -B --http-host=0.0.0.0 --http-port=65529

访问这个网站，无法访问，lplp.ackng.com:444

继续找执行文件：

find / -name xr

 

 

查看该文件，4.3M

du ./* -sh 

 

 

进入我的非root用户，检查定时任务

 

进入root用户检查定时任务

 

---

 

根据个人理解，这个病毒显示是我的非root用户的，但是执行进程用户是root，在root和非root用户里都没有发现定时任务，

目前的解决办法：删除可执行文件，杀死进程

注意

定时任务还有其他的方式，此处我为了偷懒，只检查了crontab 的，如果之后还会出现，那么我会更加仔细的检查

先强制杀死进程

 kill -9 17943

删除进程之后，服务器运行正常

删除病毒文件

rm -rf xr

 

---

最后，修改服务器的安全组规则，我是因为懒，设置的0.0.0.0...............................................

等待观察，看之后是否还会出现

 

总结：

第一眼看到我服务器中了病毒，没有丝丝慌张，甚至有点小兴奋，因为是测试服务器，目前我就部署了MySQL,redis以及我的个人博客应用，如果是我解决不了的病毒或者找我要btc，那我会毫不犹豫选择重装系统玩玩

现在服务器中病毒已经很常见了，个人服务器影响不大，要是公司重要项目影响就大了，建议平时还是别偷懒吧，病毒无处不在，不得不防

最后：

个人只是一个开发，非运维大佬，对linux了解甚微，文中不对处，请来喷我啊 哈哈哈哈

 

---

不出我所预料，以上操作，只是删除了而已，过了一会，病毒再次运行，那么百分之百在其他的定时任务里藏了命令，毕竟删除了就没有了，这太简单了

 

这种情况，第一步就是检查定时任务，删除了又有了，这种没啥神奇的，就是定时任务

 

cat /etc/crontab

目测这就是病毒的真面目了

 

删除定时任务，删除脚本，坐等打脸，再次出现