急，在线等，服务器被黑了

ftp://43.230.112.161/edominer
看 history 记录，发现他从这个路径下载了一个文件，然后执行了，现在服务器上面有个挖矿的脚本占满了 cpu ……绝望，有没有大佬遇见过的，或者这位大佬如果在 v 站求放过，实在是解决不了了。
在线乞讨大佬帮忙一下……或者指点一下思路。
history 中发现这个脚本删除了 redis 的操作记录

Reficul

2019-05-30 00:50:55 +08:00

在线等老哥：“ ssh 密码，上去看看”

正经回答就是备份 and 重装

Steven0125

2019-05-30 01:03:12 +08:00

去年自用的腾讯云服务器，用了 redis，老被黑，然后没用 redis，发现正常了。
数据那是找不回来了，毕竟 1 个比特币估计给了也是白给的。
后来在阿里云买了一台服务器，跑同样的服务，暂时还没有被黑。

Ultraman

2019-05-30 01:11:35 +08:00

我们用排除法
首先 sudo rm -rf / 可能没法完全清除掉它

boris1993

2019-05-30 01:18:11 +08:00

备份数据，重装

@Steven0125 #3 空密码或弱密码 Redis 暴露在公网就是找死，或者说，数据库就不应该暴露出来

chinesestudio

2019-05-30 01:26:39 +08:00

要运维找我单次或者长期防火墙请配置好

chinesestudio

2019-05-30 01:28:28 +08:00

@Steven0125 防火墙和 redis 没配置好自然被黑

msg7086

2019-05-30 01:50:12 +08:00

在线等？等什么？不重装系统难道还有第二条路？

MayKiller

2019-05-30 07:19:14 +08:00

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

qilishasha

2019-05-30 08:06:07 +08:00

根据运维部每次的报告来看，重装是最快的办法，用文件码比对就可以知道哪个类、文件被注入，然后逆向找原因。所以，当服务器配置好后的初次备份很重要。

yogogo

2019-05-30 08:19:16 +08:00

@Reficul 那老哥最近都没看到了_(:ｪ」∠)_怀念

mahonejolla

2019-05-30 08:39:08 +08:00

麻痹，点开链接是个文件，赶快结束他。不敢造次。

BrillianKnight

2019-05-30 08:45:54 +08:00

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

lusi1990

2019-05-30 08:46:31 +08:00

我也被黑过，当时技术水平有限，把某云骂了一遍，然后重装

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/568921

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.