记一次阿里云服务器被挖矿的经历 _科技新闻

被挖矿
大早上起来，发现被“挖矿”了，云服务器在大晚上发了几条警告消息
真TM恶心，它伪装成一个程序，占有99%的内存，通过借助大量计算能力去做别的事情
解决
top命令查占有进程
会出现这种占有99.9%的进程
PID USERPRNIVIRTRESSHR S %CPU %MEMTIME+ COMMAND30049 xm2003735762720404 S 99.90.11252:00 java
如果是云服务器，先杀死kill -9 30049，去安全中心找它安装的程序
不是的话，就先别杀死，通过进程找到它安装的程序cd /proc/30049
然后去删掉文件
这两个文件删了
然后还有把定时任务删除，不然会死灰复燃
启动查看定时任务的程序
service crond status
（需要安装）
需要知道这个进程是哪个用户的，前面显示的User是xm（如果被破解root用户就还需其他操作）
查看xm用户下的定时任务 -u xm -l
果然有3个定时任务，杀死xm下的所有任务 -u xm -r
加强安全防范
从上面的安全警告可以看出，这是破了xm用户的ssh密钥
从几个方面去加强安全防范
修改xm用户的密码，由于xm用户是弄着玩了，密码就是，太简单了，改一下修改端口22，SSH的默认端口是22，谁都知道，可以改一下
修改默认端口：vim /etc/ssh/
然后重启服务：sshd.
【记一次阿里云服务器被挖矿的经历】如果是云服务器，去安全组加上自己的端口号