记录一次服务器被黑修复全过程

作为一个懒懒的程序员，我想没人会接受每次登陆linux 服务器都输入密码吧，所以我配了ssh 登陆，昨天，发现我的ssh登陆不管用了...第一反应。服务器被人碰了。

1. 然后打开阿里ECS服务器后台，扫描服务器看，发现我的部署的几个php有被shell脚本注入的漏洞。马上上服务器 rm -rf / 。哈哈。当然不是/。是删除那些有漏洞的文件啦。（其实就是下载的几个php项目有漏洞，也没有什么用的php项目）因为在测试服务器。直接delete。然后马上打开cd ~/.ssh/ 切换到这个目录里面。看到一个别人配置的ssh公钥，我就知道出大事了。然后马上删除。配置上自己的ssh。然后修改密码，本来打算上服务器看看还有没有问题。然后发现我的ssh 又没了。

   
   
   

   如图

2. 第一个感觉就是，定时任务。然后马上crontab -l 如图。我拉个擦。居然还要定时任务定时拉他的ssh 下来。

   
   
   

   Paste_Image.png

3. 然后马上crontab -e 删除。然后通过浏览器下载脚本下来瞅瞅。跑了什么鬼。如图所示。解读下。第三行代码就是每十分钟执行一次 上网拿到那个sh 然后执行。写到我的定时任务里面 然后创建mkdir -p /var/spool/cron/crontabs 并且写进去。然后 ，下面的7 -17 都是配置他的ssh 。 用vi 打开。然后删掉
   然后则是。
   3.删除 /opt/这个目录 这玩意是第四步的服务产生的 rm -rf /opt
   4.删除服务。因为这服务器是他创建的。所以。我觉得不是什么好东西。
   service ntp stop
   rm /etc/init.d/ntp
   rm /usr/sbin/ntp
   最后两句话。其实就是kill掉定时任务了。然后10分钟后。他又会拉去他的sh 去执行定时任务了如此循环下去。

   
   
   

   Paste_Image.png

下面我给出很多解决这个问题。我找的文章。还有就是利用man 这个命令查看。 == 作为一个androider 和javaer 。对linux真的有点薄弱,日后希望能够多多补充这方面的知识。哪里写的有误差，请大家指正。

1. 鸟哥对crontab的讲法
2. 解决centos被minerd挖矿程序入侵方法