阿里云服务器被挖矿minerd入侵的解决办法

上周末，更新易云盘的时候，发现阿里云服务器CPU很高，执行 top 一看，有个进程minerd尽然占用了90%多的CPU, 赶忙百度一下，查到几篇文章都有人遇到一样问题

Hu_Wen遇到的和我最类似，下边是他的解决办法

http://blog.csdn.net/hu_wen/article/details/51908597

但我去查看启动的服务，尽然没有 lady 这个服务。 找不到始做俑者，那个minerd进程删掉就又起来了，后来想了个临时办法，先停掉了挖矿的进程

1. 关闭访问挖矿服务器的访问 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd  ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，由于删除了，过一回会自动有生成一个。

3. pkill minerd  ,杀掉进程

4. service stop crond 或者 crontab -r 删除全部的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

 

解决minerd并非最终的目的，主要是要查找问题根源，个人服务器问题出在了redis服务了，黑客利用了redis的一个漏洞得到了服务器的访问权限，

http://blog.jobbole.com/94518/

而后就注入了病毒

下面是解决办法和清除工做

1. 修复 redis 的后门,

1. 配置bind选项, 限定能够链接Redis服务器的IP, 并修改redis的默认端口6379.
2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即便存在未受权访问, 也可以给攻击者使用config指令加大难度
4. 好消息是Redis做者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的帐号

3. 查看你的用户列表，是否是有你不认识的用户添加进来。 若是有就删除掉.

易云盘 免费在线企业云盘，支持文件加密,权限设定.