记一次腾讯的云服务器被植入挖矿程序的历程

不幸中的三生有幸…在19年9.10教师节的晚上，在我购买的云服务器上发现了这个挖矿程序…略有点刺激…故事是这样的~

#最近写了一个小程序，在购买的乞丐版腾讯云服务器上跑起来了tomcat、redis、mysql… #怪事就这样开始了… #先是redis莫名其妙被杀掉… #接下来tomcat也莫名其妙的被杀掉… #redis怎么启动不出10min,他就悄无声息的没了…很神奇，日志也没有被杀掉的记录… #查看oom killer的日志也没有…难道累了自刀了？显然不可能… #我又寻思难道是java里设置的最小空闲连接数量问题？(此时已经进入无脑的瞎蒙状态)显然怎么改依然无济于事…Orz… #凌晨了，此时超级安静的环境下，一股力量让我敲下了

top

此时

其中一条sysupdate的进程引起我的注意，耗费cpu高达98.0(截图的时候略有减少)，MMP…这TM什么鬼(罗辑思维有一集说得好：脏话促使了文明发展。若不通过脏话抒发内心的疑惑和悲愤，可能一晚上都要郁郁寡欢了…) 果断

ps -ef | grep sysupdate   //查到sysupdate对应的PID

ls -l /proc/{pid 号}/exe  //获取绝对路径

发现 sysupdate 的绝对路径在 /etc下 /etc/sysupdate 将此文件下载到本地，并上传到 VirusTotal：https://www.virustotal.com/

#妥妥的有问题… 开始干掉他…

（1）杀进程

kill -9 PID号

（2）删文件

rm -rf sysupdate

此时报错

是因为该程序使用了 chattr +i 的命令，我们执行

chattr -i sysupdate

然后再次rm -rf就可以删除了

(3)清除残留

不出10min左右，会发现文件及进程又出现了，是因为有潜藏的定时任务 通过

crontab -l

或

cat /var/spool/cron/root

查看定时任务

清理定时任务

crontab -r

（4）秘钥文件处理

通过

ll -a   //查看所有文件包括隐藏文件，找到.ssh

找到/root/.ssh/authorized_keys文件，此文件修复或是删除（修复方法网上有很多，后期我在整理在这）

（5）其他修复建议

a)断网、备份重要的crontab，关闭或删除定时任务：systemctl stop crontab或 rm -rf /etc/cron.d/*；(大小一般为182)

b)查看并杀掉病毒进程：同时杀掉sysguard、networkservice、sysupdate三个进程；

d)重启服务器，安装漏洞补丁。

（6）大功告成，此时暂告安全

总结： redis在linux中配置好并运行起来前，**一定要！一定要！一定要！**配置好redis.conf中的bind，绑定本机以及允许访问的机器，否则你的服务器的redis会立即暴露在全球的眼皮底下，秒秒钟会被其他人或是运行的程序扫描到并且立即植入挖矿程序，你的服务器就成为别人的肉鸡了。切记！一定要配置好绑定IP！