阿里云服务器被中木马去挖矿(解决方法)

今天大早上阿里云给我打电话说我的服务器有挖矿行为，说我不关了就把我服务器收了

立马打开服务器一看cpu占了99.6%，好好好，中马

终端，输入top命令，看看什么占cpu，01tuvwx，网上没有查了，没有相关服务，应该就是这个了，关键他是root用户，说明我的服务器被提权了，因为一般的话我见过的木马都是www-data用户

kill -9 pid还是在

输入命令 ls -l /proc/19051/exe，查看进程位置

去了这个目录下没有

难道被隐藏了

到tmp目录下ls -a

发现还是没有但是有个文件是最近添加的，不管是不是的，直接删了(这里可能木马就已经没有了)

用crontab -l 查看有无定时任务，没有

继续输入top -c

有个恒奇怪的东西，可能是通过我删的那个文件的命令执行

上面有个ip，放态势分析平台看看

到这里重启服务器，cpu就降下去了

查看了最近异常登录，气笑了，直接上的，连忙改密码去了