0 序言

????????我之前搭建的hadoop用于測試，直接使用了8088和9870端口，沒有放入docker，從而沒有端口映射。于是，就被不法之徒盯上了，hadoop被提交了很多job，使得系統(tǒng)被感染了挖礦病毒，在前幾天阿里云站內(nèi)消息告知我的輕量級服務(wù)器有挖礦行為時，我才著手處理此事。

1 清理挖礦程序的基本步驟

? ? ? ? 先用top命令查看cpu占用率大的進(jìn)程的PID，再用systemctl status cpu占用率大的進(jìn)程的PID命令查看守護(hù)進(jìn)程地址，以用rm命令刪除挖礦程序。在用rm命令刪除挖礦程序前，應(yīng)該檢查是否存在后門，以防止壞東西通過后門再次侵入。

????????所謂后門，我檢查了路由條目和定時任務(wù)：

• 是否有多出來的定時任務(wù)（非自己加入的定時任務(wù)）？
• 是否有多出來的路由條目？
• 是否是應(yīng)為集群中其他的服務(wù)器被感染，該服務(wù)器是被傳染的？

? ? ? ? 說實在的，我一開始就檢查了前兩條，這也為后來挖礦程序的死灰復(fù)燃埋下了伏筆。這樣子，我的清理工作也變成了兩輪。

2 清理工作記錄

? ? ? ? 我參考了這位博主的博文：

Linux挖礦病毒清理流程https://blog.csdn.net/ouxx2009/article/details/123479424

?2.1 先KILL挖礦進(jìn)程（翻車）

????????先用top查看cpu占用率大的進(jìn)程的PID，如圖所示：

?????????前一段被擋掉了，但是從第二條命令systemctl status 16760可知，該進(jìn)程的PID是16760。先鍵入chmod 600 /run/systemd/transient/session-10938.scope降低權(quán)限，然后用rm命令刪除。

? ? ? ? 接著從下往上kill進(jìn)程：

kill -9 16760 
kill -9 6632

2.2 清除定時任務(wù)（翻車）

????????喜聞樂見，2min后這個進(jìn)程又起來，哈哈。于是我就去檢查了定時任務(wù)，使用crontab -e命令發(fā)現(xiàn)多了三條沒見過的定時任務(wù)，直接手動刪除即可，然后我等了10min多看他還沒起來，就安心睡覺去了。

? ? ? ? 第二天起來，我看了一眼，挖礦進(jìn)程沒起來，我還以為這就結(jié)束了。出乎意料，幾天后站內(nèi)信告知我仍有挖礦服務(wù)，挖礦進(jìn)程又起來了！

2.3 排查路由條目和集群其他云服務(wù)器（DONE）

? ? ? ? 我查看了控制臺的監(jiān)控圖表，發(fā)現(xiàn)確實是過了幾天才起來的，如圖所示：?

? ? ? ? 我提交了工單，阿里云的員工替我摸查了一遍，建議我摸查路由表。?

????????于是我按照建議摸查了路由表，發(fā)現(xiàn)并沒有多出來的路由條目，只有原來指向集群中另外兩臺騰訊云的路由，接著我開始摸查騰訊云的那兩臺服務(wù)器。結(jié)果發(fā)現(xiàn)那兩臺確實有很大可能是跳板機(jī)，我查看了那兩臺服務(wù)器的定時任務(wù)，發(fā)現(xiàn)也有多出來的定時任務(wù)，但用top命令查看了卻沒有進(jìn)程。定時任務(wù)我全部清理了。然后又按照原順序把挖礦進(jìn)程又kill了一遍，暫時就到這里吧。

3 后續(xù)

????????按照，上面這張圖來看，我不知道還能再太平多久，我希望這個博客不要再有后續(xù)了，哈哈啊哈。