我竟然因为开放zookeeper服务而中了挖矿病毒？

事情是这样的，我今天早上醒来手机上收到了来自腾讯云的通知，说我服务器中木马，于是我来到腾讯云控制台查看了一下，发现了5个病毒文件。

我的第一反应便是中挖矿病毒了，于是我顺便查看了一下服务器监控情况。果不其然，CPU直接跑满了。

于是我赶紧登陆了服务器，top一下了解一下具体情况。

原来是这个名为kswapd0的程序登陆了我创建的zookeeper用户在疯狂的跑着我服务器的CPU。

于是我便上网搜了一下kswapd0，经过查证，这玩意是一个perl脚本，通过SSH爆破攻击目标系统，同时传播基于Perl的Shellbot和门罗币挖矿木马。

结果我便想到了，我本来用来玩转zookeeper而创建的zookeeper用户，账号密码都是zookeeper，而zookeeper客户端开启默认端口2181我也未进行修改。

我尝试登陆zookeeper用户，结果发现密码竟然不正确。好家伙，竟然还修改了我密码，于是我便通过root用户使用passwd 命令重置了一下该用户密码。

接着，我使用netstat -anltp|grep kswapd0命令查看了一下kswapd0进程的对外端口，IP竟然来自荷兰。


因为我zookeeper服务端是一直开着的，也不难想象为什么会中病毒了。

病毒处理

1. 杀死进程：
   
2. 删除腾讯云控制台显示的木马程序所在的文件夹
   
   
3. 将木马文件进一步隔离
   
   可以看到，CPU的使用率已经变得正常了。
   

总结

1. 服务器不要使用弱密码连接；
2. 不要轻易开放服务器端口。