postgresql被注入以後

    原本只是貪便宜買了個一年特價的阿里雲服務器，作作測試什麼的，結果不知道哪一天開始阿里雲安全中心就開始給我發什麼安全提示類的信息，一開始我並不在乎，由於這些都是套路，不過是想讓我升級購買高防盾罷了，反正是測試用的服務器無所謂，頂多就重裝系統罷了。就這樣過了半年左右，最近安全提示就像短信轟炸同樣鋪天蓋地的來，近來也比較空就看了一眼，WTF成爲挖礦肉雞了，因而開始清理。。。。

    一開始覺得就是簡單的計劃任務清理下就完事了，結果無限循環，因而開始百度。

#登陸個人ubuntu查看了一下進程
ps -ef

發現多了幾個postgres向遠程服務器發送請求的進程，因而優先想到殺死進程

kill  進程ID

所有殺完再次查看，MLGB自啓動了又多了一堆，這個時候就想應該是從postgres這個用戶入手，回想了半天可是裝PG的時候彷佛是跟着網上的教程弄，搞得本地的postgres用戶密碼爲空，因而趕忙加個密碼

sudo passwd postgres

設置好以後又殺了一遍進程，心想應該OK了吧，MLGB一查看又一堆，因而靜下心來冥想，終於應該是個人postgres遠程鏈接密碼太弱形成的吧，因而改密碼

#登陸psql終端
sudo -u postgres psql
#在終端提示行底下鍵入
ALTER USER postgres WITH PASSWORD ‘一大堆亂七八糟本身都記不住的字符’;
#而後退出終端
\q
#重啓服務
sudo service postgres restart

心想這下應該好了，結果不出意外仍是MLGB，改都改了難道不對？因而決定先停下postgres服務

service postgres stop

好的，服務是停了進程還在，因而再殺一遍，此次查看HAHAHAHA好了~！

可是我是須要啓動postgres服務的，因而再次啓動

service postgres start

果不其然，那堆熟悉的進程又回來了。。。

不過此次大概知道方向了，和postgres這個服務有關係，那麼是否是這個東西有什麼補丁沒打？因而一頓搜索，都是教人怎麼注入postgresql的

好吧，本身嘗試一下吧，因而仔細查看了進程信息發現都是經過/bin/sh來啓動curl

因而心想把這兩個東西幹掉不就完事了

#而後經過find命令找到他們
find / -name sh
find /  -name curl

出來一大堆結果，仔細篩選一下鎖定了/bin/sh  和 /bin/curl

因而二話不說一頓刪除

rm -f /bin/sh
rm -f /bin/curl

再次查看進程，OH~YEAH那些進程果真統統消失了

趕忙重啓機器確認一下

reboot

WTF各類服務開不起來了，service命令提示沒有權限，什麼鬼，這下懵逼了，因而想到莫不是刪了系統的東西？趕忙搜索一下，果不其然sh是用來啓動腳本的，完了個蛋，趕忙查一下補救方法

#終於找到了補救方法就是經過/bin/bash作一個軟鏈接就能夠，問題是該目錄下要有bash，還好運氣不錯該目錄下有bash因而就作個軟鏈接
ln -s  /bin/bash  /bin/sh

再次重啓，各項服務都正常了，連那個該死的挖礦進程也回來了，*（）&%*……*&%

回到原點，再次分析進程發現都是去訪問https://pastebin.com/這個網址，因而就去搜索這個網址，果真找了了一些前輩的分享，趕忙瞜一眼

我找到了這篇https://blog.csdn.net/u010457406/article/details/89328869

跟着裏面的步驟發現我ubuntu的系統yum不到bz2，又一籌莫展了，因而繼續往下看，好傢伙這位大哥把清楚函數的代碼貼出來了，真是感激，因而照着裏面寫的命令一條一條的試，果真隱藏着無數的坑，順便提一下個人是被假裝在sendmail的文件中經過crontab定時任務發送，因而一頓操做以後系統彷佛沒事了，各類重啓什麼的也沒問題，至今問題解決已通過了8小時暫時安全，已經跟着阿里雲裏面這方面的補救措施一步步作了。

PS：最後提一嘴，寶塔面板雖然好用可是不會配置的東西仍是不要亂裝，或者要了解一下再裝，我用寶塔安裝的redis雖然傻瓜可是沒有提供更改端口和開啓密碼的接口，彷佛有些人是由於redis的漏洞被注入的，但願看到文章的兄弟們若是redis沒有密碼沒改端口是時候行動起來了~！