一次服务器被挖矿木马攻击的经历

基本情况介绍：

      使用TOP命令，查看所有进程占用资源情况，发现存在一个进程，占用大量CPU资源和内存资源。进入/proc/目录下，看到该进程的命令来源于/tmp下。使用kill -9 命令杀死该进程之后，一会又有新的进程产生，依然占用大量CPU。

      于是猜想可能存在定时任务或者其守护进程。使用systemctl status crond查看到定时服务并没有启用。用pstree命令看到该进程存在一个父进程，PID是一串数字，显然不正常。于是先kill该父进程，然后在kill该进程，最后删除/tmp的该进程命令。再次使用top命令查看，CPU已恢复正常使用。

      由于服务器上开启了项目所需的必要端口，其中包括了redis的默认端口6379（未设置密码），因此猜想可能是该端口产生的安全问题。首先为redis服务设置了密码。