记一次阿里云服务器被挖矿的经历

被挖矿

大早上起来，发现被“挖矿”了，云服务器在大晚上发了几条警告消息

真TM恶心，它伪装成一个程序，占有99%的内存，通过借助大量计算能力去做别的事情

解决

top命令查占有进程
会出现这种占有99.9%的进程

  PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND                                      
 30049 xm        20   0  373576   2720    404 S 99.9  0.1   1252:00 java   

如果是云服务器，先杀死kill -9 30049，去安全中心找它安装的程序
不是的话，就先别杀死，通过进程找到它安装的程序cd /proc/30049

然后去删掉文件

这两个文件删了

然后还有把定时任务删除，不然会死灰复燃

启动查看定时任务的程序

service crond status

（需要安装crontab）

需要知道这个进程是哪个用户的，前面显示的User是xm（如果被破解root用户就还需其他操作）

查看xm用户下的定时任务crontab -u xm -l

果然有3个定时任务，杀死xm下的所有任务crontab -u xm -r

加强安全防范

从上面的安全警告可以看出，这是破了xm用户的ssh密钥

从几个方面去加强安全防范

1. 修改xm用户的密码，由于xm用户是弄着玩了，密码就是123456，太简单了，改一下
2. 修改端口22，SSH的默认端口是22，谁都知道，可以改一下

修改默认端口：vim /etc/ssh/sshd_config

然后重启服务：systemctl restart sshd.service

如果是云服务器，去安全组加上自己的端口号