阿里云ECS服务器被黑成矿机的解决方法

阿里云发消息提示 我的机子被植入了挖矿程序

于是进到服务器里面 看一下进程

netstat -antp

发现有很多 networkservic的程序在后台执行

于是本能反应 pkill networkservic 反向并没有什么用

挖矿病毒 会有几个文件 sysupdate  networkservice  update.sh  sysguard  都会存放在 /etc目录下

需要 chattr -i sysupdate  得到权限 才能进行编辑  

chattr -i  /etc/sysupdate

chattr -i  /etc/networkservice

chattr -i  /etc/update.sh

chattr -i  /etc/sysguard

然后删除掉 

rm -rf   /etc/sysupdate

rm -rf  /etc/networkservice

rm -rf  /etc/update.sh

rm -rf  /etc/sysguard

一个有趣的事情

在/etc/update.sh这个文件中 你会发现一个IP地址 我猜这个IP地址应该是黑我服务器的人 我找了一下他的地址 

185.181.10.234  德国

于是 开启iptables 先封了这个IP再说

iptables -I INPUT -s 185.181.10.234 -j DROP