阿里云服务器被恶意程序攻击

进日收到阿里云发来的报警信息，有台大数据服务器被恶意程序攻击，导致服务器的CUP、内存增高，之前处理过这种问题，处理的办法不是很理想，隔了一段时间又出现此类问题。在此总结一下：

 

导致此类事件的原因包括：

1. 服务器的端口对外开放，黑客利用这些端口的漏洞来入侵服务器；

2. 服务器的账号密码过于简单，被黑客暴力破解入侵服务器；

解决问题的办法如下：

1. 连接服务器找到恶意程序进程杀掉；

2. 删掉恶意进程文件；

3. 将对应执行恶意程序的用户也清除掉；

4. 清除系统计划任务中（crontab）的恶意任务；

以上都是最为基础的排查思路，都处理完后在观察一段时间服务器，用top命令查看是否还有恶意程序执行，如果还有的话可能就是其他原因导致，比如恶意程序封装在系统某个应用中，解决办法就是找到此应用删除应用重新安装即可。

如何避免此类问题发生：

1. 应用服务的端口如果不对外公开的话，建议把监听地址改成本地内网地址；

2. 服务的默认端口也要更改；

3. 增强服务器的用户名密码的安全性，不要过于简单；

4. 系统用户要设置成/sbin/nologin禁止登陆服务器；

5. 阿里云安全组和系统防火墙要设置合理；

总体思路就是先解决问题、做预防、在观察服务器。