服务器被黑了，有个不知名进程 cpu 占用率 97%， kill 了没多久又启动

redis mysql 等开源 /闭源的大软件一堆 只要开了端口就能被 fuck 的 0day 漏洞。

https://medium.com/servers-101/how-to-secure-your-linux-server-6026cfcdefd8
这个链接分享给大家，希望有用

分享个人了链接之前要做好个人网站防护

密码还能开？全改密钥呀

首先装个 htop 用 tree，看看这个进程是谁启动的，pstree 也行。找到后再思考怎么处理。

只能查进程 找 shell 了

还好我的小服务器在反代后面，路由器还有 pfsense

害怕。。。我的服务器就跑了一个脚本，记录所有用户执行的命令，这样出了问题就好查一些了。

@irblu 还用什么强密码，应该禁止密码登录，改成密钥。

挖矿木马大多是利用中间件的漏洞，只要被扫描到马上就会被感染，暴力破解 ssh 密码的概率比较小的。建议楼主把 cve 补丁都打全

软件系统及时升级，所有业务服务都不要 root 权限启动，非业务端口尽量全加防火墙关闭或限制外部访问，并且最好改到高位不常用端口上。

redis 没有设置密码吧？被矿了，我周二也遇到了，https://blog.netlab.360.com/systemdminer-propagation-through-ddg/

之前有台生产服务器被挖矿了， 也是一直杀不掉。

最后追踪和分析脚本发现这个程序会不断的生成一个挖矿程序（ bash ）脚本并运行， 而且二者还会相互唤起。


我最后的解决方案就是把 bash 脚本的权限设置为不可编辑状态，那么在生成的时候就会直接报错，这样就阻止了相互唤起， 剩下的就是清理程序和定时任务。


最后： 生产服务器还在跑， 也没有重装，但是把一些安全漏洞修复了。


总结：
主要问题也是对方的脚本有漏洞，生成脚本之前没有检查可编辑状态。能找到这种漏洞也是看人品了，如果自己解决不了，那么就直接重装吧

rkhunter --checkall 检查下看看

长了一波知识

先看 crontab 哇

被黑经历，分享一篇文章 ，也许对你有帮助 https://www.jianshu.com/p/97b9dc47b88c

@irblu 哈哈，莫名想笑

。。。 你被启动了定时任务。

这么真实得嘛