求助 服务器被挖矿！

重装 100%解决问题
还有记得用证书登陆 SSH 或者 fail2ban

备份数据，重做系统。

重做系统吧 然后更换 ssh 端口 证书登录 修改密码或者停用 root

crontab -l

会不会有个定时任务，自动复活挖矿病毒？

当年下班前在阿里云的服务器上装了个 redis，没来得及配置结果吃了个饭的功夫就被黑了

阿里云的 redis 端口没做防护，被美国网址扫描到了，然后就被挖矿了，，，

查看你的定时任务删掉，然后很多二进制文件被替换可能

@ying5201314 第一步要把他往.ssh/authorized_keys 中写的内容干掉，如果 root 删不掉，记得用 chattr 改下属性。
关掉 redis
修改 hosts 把挖矿地址指到 127.0.0.1
接着删掉 crontab 中的内容
清理 tmp 下的挖矿脚本
redis 加密码，做好安全组防护
秘钥登录

镜像还原

我很好奇，它是怎么做到 1 小时后自动创建异常文件的。

我所知道的。 通过

1. @goofool 的 crontab -l，
2. 如果是 debian 的服务器，注册 启动的 service 在下次启动的时候创建异常文件
3. 还有就是通过 /etc/rc.local 来创建文件？
4. 进程存在恶意程序，定时创建异常文件?
5. 通过 ssh 的证书登入，scp 来进行创建文件?

这是什么病毒，能很好的做定时任务的重启，我表示很想学习以下

@nnnToTnnn 还有替换系统自带的命令的

开 ssh，让我上去看看

它会改你的二进制文件，甚至 cd，ls 都是动过手脚的，最简单的就是重装，加强安全防护

1. 你的服务器可能存在某个漏洞，导致黑客能够随时入侵并植入恶意软件。2. 黑客给你的服务器设置了某种后门，即使 kill 进程后也会自动下载运行挖矿软件。

oh , 估计百分之八十可能 redis 未设置密码, 然后 端口开放到公网了吧?

CTRL+回车 怎么就发送了呢.

检查所有用户的 crontab 删除之 , 然后删除异常文件 , redis 设置密码, 不对公网开放 . 修改 ssh 默认端口. 重启 ,解决问题.

如果是 root 进程的,那么重装吧,没有更好办法啦.

如果是普通用户就全部干掉.

唉，我买的 2 个外网 vps 都被黑了，厂商直接关掉我 vps

别用一键脚本，自己重装系统