阿里云越来越离谱了

把阿里监控程序删了吧

再强的密码也是不安全的，建议用密钥，实在不行也要开防爆破。
尤其是你后面提的那个 yespower ，有可能自带保护机制的，比如登录 SSH 自动关闭，让你发现不了。

@wwbfred yespower 我每次都是手动 kill 掉了，不然 cpu 100%，之前杀完过一段时间又有了， 最近已经很久没有出现了

看盘内电影投屏，每十几分钟卡住，下载速度几十 K ，，，，，

“我密码都用了很强的，而且 ssh 端口也改了，按道理不可能被爆破的。” 为什么会有这种奇怪的认识，ssh 外网登录起码得用密钥且关闭密码登录

另外都报挖矿程序了，手动 kill 只是治标，根治得好好排查，或者干脆重装系统

windows defender 也会杀 frp ，已经把 frp 目录加入白名单

这机器已经凉了，重装吧。
ssh 改用普通用户强密码，平时 sudo 提权。
禁 ssh 密码，仅密钥登入。
开启防火墙，只开放业务端口和 vpn 端口。
ssh 不对外开放，用 vpn 连入。

弄个堡垒机，所有的 VPS 仅允许堡垒机的 IP 登入。

@jackmod 好家伙，为啥他们不知道 vpn 呢，安装一个 docker ，再搞个 vpn 容器完事了，还要啥防火墙，裸奔都没问题。。主要还是太多菜鸟了，以前的公司那些运维也是这样的，蠢透了，基础安全常识都没有。

@goodryb 改 ssh 端口有啥用，为啥那么人连基本常识都没有。。。好像改了别人就很难发现似的。。头大。

任何连接外网的机器只要几个业务端口，其他一律走 VPN ，哪有那么多复杂的事情呀。

@selfcreditgiving #3 阿里云这个只是自动处理要付费，但是警告里是给了你启动命令的，你应该根据命令去排查被感染的文件。

之前 yapi 的漏洞也导致我的服务器被黑了，我的处理就是根据启动命令找到被注入的文件，然后排查 mongodb 里记录的任务并删除，还有关掉 yapi 的注册功能。

@byte10 大佬可否指导下 vpn 容器，有没有好的 git 求个链接？

现在是防外贼？还是防内贼？的问题。就看云服务器厂商底线在哪里了。

说明一下，这个服务器公司有挺多业务数据正在上面跑的，如果被人恶意入侵，被勒索比特币应该是他们优先考虑的。而不是只单单植入一个挖矿程序。
@wwbfred
@goodryb
@jackmod
@yanzhiling2001
@byte10
@gadfly3173

@selfcreditgiving 我们只是提出我们的想法，如果我们遇到这个问题怎么做。我只能说，如果这是公司的服务器，我打死也不敢给公网开密码。
你的猜测无法证伪，但同样也无法证明。你认为这是对的，那就是对的，你无需任何操作，骂服务商换服务商就好了。

@selfcreditgiving 另外如果这是公司的服务器，如果不是你一个人维护，你必须考虑内鬼的问题。

@selfcreditgiving 事实上绝大多数的入侵都是爆破和脚本小子，很少会有针对性的对你的业务进行入侵，所以挖矿和肉鸡比比特币勒索常见的多得多。

@perfectar 百度一下 docker openvpn, ,你多参考几条，或者参考这个 https://registry.hub.docker.com/r/kylemanna/openvpn 非常的简单方便，另外看一下路由的设置，https://www.xxshell.com/1760.html ，因为这个 openvpn 连接后，所有的路由都走 vpn 会有问题，百度那个搜索总是有访问问题。。其他还好。

@selfcreditgiving 不用看云厂商的底线，机器都在别人手上的，还有啥需要你防的，你防得了吗？如果有大量的机器的，那确实需要内网的防火墙隔离看来。如果你自己玩的话，放心就好了，内网是安全的，都隔离开的。思考问题要从简单出发，用 vpn （连接 ssh ）就是最好的方案，没有之一，记住是没有之一，你听话就好了。

@byte10 试试 wireguard

@neowong2005 好的，学习下 wireguard 。当前 openvpn 也挺方便，容器化部署，配置流程我也记录下来了，一般 2 分钟搞定。

结论来了，阿里云 ECS 服务被攻击了，植入挖矿程序。