服务器中了【挖矿病毒】，分享【处理过程+源码】

csx

网络经验分享



怎么中招的
上周末为了和朋友联机玩游戏，用服务器建了个steam用户（密码steam）来当作联机服务器，结果昨天就中招了，行动真快。。。


怎么发现的
设置了的服务器cpu内存异常告警，以及收到了阿里云挖矿告警短信。


怎么处理的

top找到cpu占用异常进程
lsof找到异常进程文件路径
cat -v /var/spool/cron/crontabs/root 检查自动任务（-v参数防止隐藏文字）
停止异常的进程，删除病毒文件的执行权限
检查~/.ssh/authorized_keys 文件有没有被写入
检查开机自启动
不要设置弱口令密码！！！