记一次阿里云被肉鸡排查

今天上午大概10点多，登录服务器查看相关项目，不料登录页面直接卡死，无法连接，好不容易登录进去发现，命令输入卡的不要不要的，一看CPU 卧槽!卧槽!卧槽! 我都没跑什么程序怎么会100%？？？(个人的非公司的，没有跑什么程序)  赶紧登录阿里云控制台发现，  卧槽？吓得我赶紧点进去看看  这tm的日了狗了！！！！！！赶紧进入阿里云网页版控制台，也是漫长的煎熬，等了半天终于进去了 然而并没有什么卵用，命令卡的嗯不出来，好气哦。没办法 只能重启 利用一点间隙时间 进入控制台 。好了废话不多说，直接说解决步骤：

1： top        查看CPU使用情况与进程 如下: 

java64?这tm什么鬼？居然伪装java进程，为什么是伪装呢？因为我用的docker做了环境隔离，云服务器上是没有java环境的！MMP我信你个鬼，你个糟老头子坏得很！

2：cd /proc/pid  如

发现了执行程序所在文件然后进入/var/tmp目录下

3：cd /var/tmp/    &&    ll 

卧槽？还等什么 直接 rm rm rm  MMP

4：rm rm rm       杀进程杀进程  pkill java64   pkill basdd   注:system那个还是不要rm了, 好像是阿里云的。。

本来以为搞好了,然而并没有什么卵用，文件一会儿又tm出来了？？？唉 好气哦  咋回事？不会是定时任务吧 草 赶紧查看下

5：crontab -l 

沃日？？？果然是不正经的脚本一直下载启动草 赶紧给干掉

6：crontab -r

在此 把定时任务关了，然后重复之前的步骤(因为之前删了目录也没用，脚本一直在跑，文件删不干净，挖矿进程也在跑)  

再然后世界太平了吗？我等了半个多小时  唉 MMP 终于放下心了.

 

以上是解决过程，在此可以优化下步骤:

1 查看定时任务              crontab -l  

2 删除挖矿定时任务       crontab -r

3 查看资源占用               top

4 查看命令所在路径        cd /proc/{pid}    &  ll

5 删除脚本                      rm rm rm 

6 批量杀掉进程               pkill java64     pkill basdd

7 完成清理挖矿脚本