阿里云服务器---排查挖矿病毒

1.背景

记录一次排查挖矿病毒的过程，其实都是按照阿里云官方教程操作，其中有些操作命令需要重点记录下，为后面生产环境做铺垫学习。

2.现象

近期测试服务器有黑客通过redis的6379端口入侵，然后阿里云发送报警信息，然后登录控制台发现以下报警信息：

3.恶意文件删除

原先还担心 /etc/sysguard 是不是系统自带的，后来，检查看了下其他机器/etc目录下，都无此文件。遂放心删除。

rm -rf /etc/sysguard

提示如下：rm: cannot remove ‘sysupdate’: Operation not permitted

不科学啊，我是用root用户登录的，可能是黑客通过rootkit工具进行了处理。

然后查找资料，找到以下几个命令：

(1).   lsattr -a  文件名或目录：发现含有 -i ,  其表示不能被删除、改名、设定连结、写入或新增数据；         

         例如：----i--------e--  /etc/sysguard

(2).   chattr -i :取消i命令权限

         果不其然，撤销之后在删除就可以如愿删除了。

4.再次检查（很重要）

建议立即及时排查系统/etc/crontab、/var/spool/cron/、/var/spool/cron/crontabs/等目录下是否存在可疑计划任务文件，并加固系统密码。

尤其要注意他们的伪装，比如web,nginx,www ,www-web等等文件，这些肯定有问题！！