記一次阿里雲伺服器被中病毒處理過程

早上醒來看到阿里雲的緊急通知簡訊，就馬上進入app看下

1、起床之後，買了早飯沒吃，先開啟電腦，使用top檢視伺服器的執行狀態，發現異常程序

根據程序名查詢執行：

 ps -ef|grep xr

病毒執行命令： 執行的是一個xr檔案，後面跟的是各個引數

./xr -o lplp.ackng.com:444 --opencl --donate-level=1 --nicehash -B --http-host=0.0.0.0 --http-port=65529

訪問這個網站，無法訪問，lplp.ackng.com:444

繼續找執行檔案：

find / -name xr

檢視該檔案，4.3M

du ./* -sh 

進入我的非root使用者，檢查定時任務

進入root使用者檢查定時任務

根據個人理解，這個病毒顯示是我的非root使用者的，但是執行程序使用者是root，在root和非root使用者裡都沒有發現定時任務，

注意

定時任務還有其他的方式，此處我為了偷懶，只檢查了crontab 的，如果之後還會出現，那麼我會更加仔細的檢查

先強制殺死程序

rm -rf xr

最後，修改伺服器的安全組規則，我是因為懶，設定的0.0.0.0...............................................

等待觀察，看之後是否還會出現

總結：

第一眼看到我伺服器中了病毒，沒有絲絲慌張，甚至有點小興奮，因為是測試伺服器，目前我就部署了Mysql,redis以及我的個人部落格應用，如果是我解決不了的病毒或者找我要btc，那我會毫不猶豫選擇重灌系統玩玩

現在伺服器中病毒已經很常見了，個人伺服器影響不大，要是公司重要專案影響就大了，建議平時還是別偷懶吧，病毒無處不在，不得不防

最後：

個人只是一個開發，非運維大佬，對linux瞭解甚微，文中不對處，請來噴我啊 哈哈哈哈

cat /etc/crontab

目測這就是病毒的真面目了