码农的黑客反击战（三）

前言

最近服务器被黑客作了肉鸡，先后已经折腾了两次（码农的黑客反击战，码农的黑客反击战（二）），查杀病毒文件，修改服务器默认配置，通过观察发现，依然没有彻底清除干净。具体表现为服务器重启以后过几个小时就会链接不上，阿里云会发送Ping失败异常短信。

【阿里云】您监控ping2_1*4229：PING丢包率，地址xxxxxxxx，17:15在全部节点发生告警，值为100%，请登陆云监控平台查看

战败

经过阿里云控制重启以后，SSH又能够登陆，在系统里查了半天，再次使用ClamAV杀毒软件扫描，删除了一些被感染的文件以后（没来的及截图），系统完全异常了，重启以后SSH链接不上了。至此，只能宣布黑客“反击战”(ps:其实算不上反击，只是修复:))失败。

重来

服务器异常链接不上了，但服务器还有不少数据须要回复。后来经过阿里云控制台的工单系统和阿里售后工程师交流，阿里工程师提供了如下解决方案。

按照阿里工程师的方案，手动建立了快照，从新初始化磁盘后，系统恢复正常。而后阿里工程师帮助将快照挂载到系统，从快照文件中复制了原来的数据进行恢复，数据恢复正常。在挂载系统快照的时候，没有挂载成功，后来挂载到了其余服务器上。

反思

此次是第一次遇到服务器被黑的状况，经验不足，也没有相关反黑客经验和手段。虽然做为一个码农，心里当中充满一个高深莫测，一台电脑掌控天下的黑客梦，更多时候也只是看看电影想一想而已，惭愧惭愧。

此次也反映本身的知识弱点（对linux系统不熟悉，只会经常使用应用），也反映了在服务器的一些不规范的使用（运维弱），须要反思学习和注意。知耻然后勇，亡羊补牢吧，新恢复的系统，作了一些安全上的设置和维护，好比升级和安装系统补丁，设置防火墙规则，修改一些软件默认设置（尤为是 有漏洞的软件，好比redis无秘访问，还在外网），从新梳理和规划了服务器分布，能不开外网的状况都不开，须要外网用代理等。

最后

此次也不是一次成功反击，写下来发布出来，一是做为记录，二是若是别的遇到相似状况的人看到，或许能给一些参考价值。结束。