记录关于服务器安全问题之挖矿程序

一大早，老板告知服务器出现安全问题，叫我去解决下，并附带短信图

登录控制台提示有挖矿程序正在运行，并且cpu占有率达100%，然后我立马top了下发现了

这两玩意，一开始我就简单处理下

kill -9 端口号

后面发现居然没隔几分钟又启动了，卧槽，这…，然后网上看各种文章，然后确认了可能存在得一个点就是我的redis端口被破了，然后修改端口，重设密码，重启redis，然后根据pid找到对应得文件位置，因为在/var/spool/cron目录中并未发现定时任务，而且他是伪造得我的system进程，倒是有几把刷子。
定位文件位置

或者

先解决这个18813进程，先去删这文件发现删不了，然后修改他的文件属性在强删

chattr -i 文件名
rm -f 文件名

后面发现伪造networkservice这个程序被关闭了，但sysupdate依旧在，在 /etc 目录下发现sysupdate和sysupdates以及执行文件update.sh文件皆是在同一时间出现在服务器中.然后查看.sh文件.发现了惊天秘密,
我们可以看到,185.xx.xx.xx得ip根本就是他挖矿程序得ip地址,所以猜测这个文件肯定不是系统的,所以只有不是系统的,也不是我的,那就删删删.删不掉得问题还是和上面一样修改下属性在删.忘了说下,文件删完记得kill一下这个进程.并且将这个ip地址给禁止了.然后再执行top/htop就不会再出现这个问题了,至少目前我还没有出现了.可以参考.欢迎大佬提出问题和指导!
外付解决后top图:

一个在互联网默默搬砖的小菜白