记一次云服务器中招排查的过程

相信有很多人和我一样，花钱养着一个性能尚可的云服务器，但是却啥都没有部署，总想着什么时候能够大展宏图，部署个网站或者 API 啥的。但是理想很丰满，现实就太骨感，期待的网站和 API 没有到来，来的却是无情的挖矿程序！

缘起

突然有一天，收到了服务商的短信，说某些端口被断流了，服务器有异常网络访问。当时没有放在心上，反正上面啥也没有，就算爆炸了又能怎么滴！

但是在接下来的几天里，这种短信却像雪花一样不断的震动着手机，我才发现，事情可能不是很妙，该出手清理下久违的服务器了。

着手排查

首先先用 top 命令来查看下是否有异常进程

发现果然第一个进程 cpu 占用太高，过于异常，而且记忆中在自己的服务器上也没有部署 jenkins 啊，这个用户太可疑。

接下来再使用如下命令确认一下，查看是否有隐藏过深的进程

ps -aux --sort=-pcpu|head -10

发现果然是进程 kswapd0，还有一个进程 X3-table 也很奇怪，在 tmp 目录下，尼玛正常程序会放在这里？

锁定这两个进程之后，我先到 tmp 目录下查看一番，发现有好多近期的隐藏文件，不说了，都删掉

然后再把上面找出的两个可疑进程 kill 掉

下面着手处理 jenkins 用户，在使用 userdel jenkins 时，会提示仍然有进程在启动，看来这个用户启动的进程还是很多的，根据提示，kill 进程后再删除用户以及用户的家目录 /home/jenkins 下所有文件 # 图片4

下面再检查下 crontab 定时任务，一般使用 crontab -l 是看不到异常的，可以进入到如下目录查看是否有异常用户，如果有，删除之

/var/spool/cron/

之后还可以再检查下 /etc/resolv.conf 和 /etc/hosts 里面是否有不明指向，如果有的话，也可以删除

最后，再分享一个经验之谈，可以看看诸如 /dev 等目录下是否有可疑文件，比如下面这个

这里的 shm 就是一个木马程序，真真坑啊，删除

这样一圈下来，服务器基本清净了，不得不说，常在河边走，多备两把刀啊！！

问题遗留

当前虽然说把挖矿木马程序清除了，但是这个程序是如何进来的呢，真的是一个头两个大啊，看来对于服务器的日常维护，还是要好好进行啊，否则你对它爱答不理，它就会给你眼色瞧瞧哦！

点点 在看 行不行