记一次挖矿程序入侵以及解决实操！

1，过程记录

系统被挖矿程序入侵，导致系统CPU飙升。kill掉进程后自动重启。

无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除，一样会定时重启。

使用crontab -e查看当前系统的定时任务信息，如下：

显示定时从链接中下载文件，于是在浏览器中访问该地址，下载的文件截图如下：

很明显，这是一个恶意脚本，定时检查下载，并杀掉系统其它部分进程。

并且定时任务文件显示的内容和redis有关，立马联想到前端时间刚安装的redis，存在的安全漏洞问题！（之前安装redis都是在局域网中，现在使用云服务器把密码设置给忘了。。。）

2，解决思路

1，crontab -e查看系统定时任务是否有恶意下载链接

2. top命令查看当前耗CPU进程，找到该进程文件所在位置。chmod -x nanoWatch ,取消掉执行权限，在没有找到根源前，千万不要删除 nanoWatch,因为删除了，过一回会自动有生成一个。

3. pkill nanoWatch ,杀掉进程

4. service crond stop 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

1. 修复 redis 的后门,

1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.

2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

4. 好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。如果有就删除掉.