被挖矿的搞了。。

把服务器插头一拔。doge：

切换到 www 用户再查看 crontab -l

@TORYOI 打开了 var/tmp/cron 把下面的文件都删了现在。

@TORYOI var/spool/cron

如果网站还没关闭能访问，可能是网站程序有漏洞还没修复
用了框架的话查下是不是框架有安全漏洞要修复

@TORYOI 切换成 www 看到那个定时任务了。。我看说是 redis 的服务 我直接卸载了

https://blog.csdn.net/weiwoyonzhe/article/details/103727788

@qwertyzzz
查到漏洞就好
哎，这些令人头疼的挖矿木马

@TORYOI 说 redis 的是这个
https://blog.csdn.net/weixin_43970890/article/details/103857487

目前暂时没问题了 多亏让切到 www 看 之前一直没找到 3q

@TORYOI 说完又来了。。

@qwertyzzz 那比较大的可能是网站程序问题了。。。

@TORYOI 是啊。。把关联进程全删了 好像有 php-fpm mysql 然后重启了下看看 估计等等还会有

楼主解决了写一下，之前我的是很简单就解决的，看了下估计你的不简单

@qwertyzzz 如果可以关闭网站，可以先关闭网站访问再修复，然后再看看 http 请求日志有没异常

@oneisall8955 @TORYOI 使用的宝塔面板，解决方法 基本和前面贴的链接一样 就是查看 crontab 的时候切 www 用户才看到那个的，然后 redis 我给卸载了 ，之后 php-fpm 和 mysql 因为好像也关联到了 也杀了进程 重启了 目前暂时没问题 不知道哪还会有

我也被搞了两次，一摸一样的进程名

@zhaorunze 不知道咋被感染的 怀疑是 redis

我们公司服务器也是,有个同事把 redis 用 0.0.0.0 启动的, 后面换成 127 了, 然后上了阿里的防火墙, 就好了

登录上去之后, 用 wegt 偷偷下载脚本,然后启动定时程序

@yuexuan 我用的 127 密码是简单点。。

我之前也有类似高负载经历，但按理说挖矿应该是 24 小时不停的。我那负载却是白天高，到了晚上 11 点-早上 8 点 9 点就闲下来了。而且不是 www，是 mysql 的占用。奇怪~