今天发现服务器变成了挖矿肉鸡

今天登陆服务器，发现 CPU 一直 100%，发现 /var/tmp/bbb/bbb 占用了 99+的 CPU 。
kill 后，等 20 秒又启动了。

排查 corn

有三个任务在相互关联启动。

1. 启动 bbb 的一个
2. 一个启动 cron 的
3. 一个 download cron 任务的。 这个设计厉害了

清理肉鸡程序

1. 清除 cron

   文件被保护，删不掉，用 chattr -ia 去掉保护，依然无法删除，有点棘手哦 直接删除 job 内容

2. 删除 bbb

文件同样被保护

把入侵的入口清理一下

1. 清除 ssh 免密的私钥
2. 改 ssh 端口

又一个智障操作 端口改掉后，防火墙没改，连上了，艹。
又用阿里云的救援连接，开了防火墙

最后发现阿里云的网站提供的远程连接只支持 22 端口。改了端口无法用他们的网站连接服务器了，这。。。不是让人攻击吗？