服务器病毒问题解决- 阿里云 挖矿病毒，Circle_MI.png , systembus

[-------文档说明  直男福利--------------](http://sexyang.site/) 

今天我们的服务器 CPU 跑满了，最后发现是中了两个病毒，病毒有时是恶意毁坏你的数据，有的为了当做肉机，

当你遇到机器本身没跑什么东西，但是很慢的情况下，可以top 看一下机器的使用情况

如果发现使用率很高 而且你还不知道的，那么你可以确认一下它是否是病毒进程

如果是病毒经常 那么直接 kil - 9 pid

有一部分，杀了它还会新建 进程，这样的话你可以看一下 定时器里是否有病毒

crontab -l; 查看

crontab -r 删除

最好 也查看一下/etc/crontab

然后在kill -9 pid 这个顽固的 病毒进程

随便把这个 病毒通讯的ip 在防火墙给屏蔽了

然后又是病毒，是以脚本控制的，当你kill掉进程，那么它还是会重新 生成恶意进程或者破坏，

查找病毒进程的启动文件，

病毒再次来袭，更猛烈================================

这次的病毒叫做 systembus, 公交病毒吗，哈哈，又是一个挖矿病毒，搞了一整天，终于搞定了，

病毒现象，systembus 重复出现，authorized_keys 反复被修改

从他们反复出现的时间，大体知道他们是同一地方搞的破坏

那么就从 systembus 下手，找到启动文件，大家都知道软件的 启动文件都在bin 文件夹下面，那么系统的启动文件同样也是，收到在 usr/bin 下面找到了systembus, 还有一个方法：ls -l /proc/$PID/exe ($PID为对应的pid号) 命令查看下pid对应的文件路径，

找到启动文件之后，直接删除，这个启动文件还是会出现，那么可以想想到有地方会恢复它，

全站查找 grep -rn "systembus" /*

在usr/bin/ntpd 下找到了，systembus,authorized_keys 生成的脚本，总于找到第一幕后黑手，

赶紧把ntpd 删除，但是这个文件也会出现，看着这个文件的名字还以为是同步器搞的那，对比一下其他机器，这就是幌子，也是普通恶意执行文件，grep -rn "ntpd" /*  因为跟同步器一样的名字，所以没查到啥有用的， 那么查找 ntpd 里面的内容， 正好里面有个良好习惯***的注解 "#

curl -fsSL http"  还通过 grep -rn "" /*  查到了， /etc/crontab 里，。系统启动配置定时器里

好了，终于找到了，从 这个定时器一直往上，删删删。。。。。，搞定

通过这一次处理病毒，学到了病毒处理的过程，和linux 结构的更多了解。值了，

补充一下，redis 6379端口尽尽量不要对外没有条件的开放，你懂得