解决阿里云服务器被植入挖矿脚本过程 _阿里

文章目录6. 检查是否被创建了其它用户：7. 登录阿里云的后端在云安全中心处理告警事件：总结:
前言
基于学习的便利性，在阿里云服务中购买了云服务器，但是突然被告警提示被挖矿，而且要在一定期限内解决挖矿问题，否则就会被关停服务，本篇对于其处理过程进行一个记录，可能对于挖矿的处理也不全面，欢迎各路大神进行评论交流。
一、服务器为什么会被告警挖矿？
云服务器中被恶意安装了脚本，然后脚本运行占用了大量的cpu 和内存，触发了云服务器监控的告警；
二、怎么解决：
挖矿行为需要强大的算力支持，所以其一定会占用大量的cpu 资源，所以我们以此关键点展开
命令查看进程cpu 占用情况：
top
cpu 占用越多，该进程是挖矿进程的可能性越大，可以清楚的看到有进程竟然将cpu 的占用率达到了100% ；
2.通过pid进程号，查找改程序所在的目录：
提示{pid} 为 top 命令第一列对应的PID

文章插图
ls -l /proc/{pid}| grep exe
这里可以清楚的看到改进程脚本所在的目录；
3. 强制删除脚本文件：
rm-f跟文件的路径
4. 强制杀死进程：
kill -9 {pid}
通过以上步骤，我们已经删掉了脚本文件，并且杀死了进程，此时cpu 的占用应该会显著下降，可以使用top 命令在观察下；
5. 检查是否有脚本的定时任务：
防止定时有挖矿的定时任务存在；
5.1 检查定时任务是否开启：
systemctl status crond
5.2 查看存在的任务：

文章插图
crontab -l
如果发现有可疑的任务则编辑删掉任务（记得看下这个脚本的位置将脚本也一起删掉）：
vim /etc/crontab
【解决阿里云服务器被植入挖矿脚本过程】然后重新加载任务：
/bin/systemctl restart crond
6. 检查是否被创建了其它用户：
cat /etc/passwd
如果发现被创建了用户则进行删除：
删除用户和用户组：其中是需要删除的用户的用户名
userdel -r username && groupdel username
7. 登录阿里云的后端在云安全中心处理告警事件：
当出现挖矿事件时，云安全中心会产生挖矿程序的告警事件，在这个列表下单击操作列的处理，完成处理：
总结:
以上就是今天要讲的内容，本文仅仅简单记录了处理服务器挖矿的流程，记录的不全面，欢迎各路大神探讨交流。