记一次linux遭遇挖矿病毒之旅

开发那边构建jenkins项目发现构建失败，我去排查发现，git拉取不了代码，我一开始以为是ssh没权限，公钥失效了，后来发现22端口连接不上。

后来我试着ssh连接别的机器发现报同样的问题，经过网上搜索这种问题的原因，ssh服务没启动，host.deny,防火墙规则，甚至把openssh服务卸载了重装仍旧这个错误。

中午登陆linux宝塔发现服务器CPU满了，造成了资源100%繁忙，后来在命令行top一看/tmp目录有个非法二进制文件占用了300%CPU，这种来历不明的二进制吃CPU的程序一般是挖矿恶意进程

我赶紧把这个进程杀掉，，删掉二进制文件。果然进程莫名重启，二进制文件重生。断定了确实是挖矿病毒。后来我查看 /var/log/secure发现文件丢失，last命令也不存在，使我察觉到，服务器应该被人非法登陆，注入了这种挖矿病毒。我赶紧修改了服务器密码，果然不出所料，把密码设置的复杂后，再次杀掉进程，删掉二进制文件，病毒不会重启了，让我断定，之前我杀过的进程，删掉的软件，非法人员又在某刻重新登陆，重新注入病毒。病毒问题临时解决了，但是我的ssh服务依旧不能使用，后来我向领导申请重装系统，因为华为云机器，比较简单操作，我做完相关的备份操作后，开始了系统还原，但令我失望的是，还原后的新系统，ssh依旧不能使用，最后无可奈何，提交了一个工单。后来我发现我的机器ssh公网iP连接失败，但是连接局域网IP可以连接，经过我和华为云技术支持相关人员配合，后台发现了，公网IP被阻塞了，它们给我的官方说法说法是一下原因导致了

公网IP被阻塞。

1. 是否有比较多的华为云账号，购买了多台服务器？ 2. 是否电商类业务？ 3. 有多人/频繁登陆连接华为云不同账号下多台服务器的场景？ 4. 本地是否有使用批量远程连接软件工具？

后来它们把服务器给我解封了，ssh可以使用了，所以我分析我的服务器应该是，被人用来恶意挖矿，华为云后台监测到我的机器做了非法操作，便将我的机器给封了（拉黑了）。华为云官方说法是：

DDoS攻击导致流量过高。 黑客入侵控制服务器进行违法操作。 服务器流量超载过多。 等等 都会导致服务器状态异常

如果他们后台检测到服务器有以上行为便会对服务器公网ＩP进行阻塞封堵，避免连接别的机器，造成病毒蔓延（这一点还是挺可靠的）

经过以上总结，服务器安全问题刻不容缓。需要制定完善方案抵制同类现象发生。待更