求助 服务器被挖矿！

重装 100%解决问题
还有记得用证书登陆 SSH 或者 fail2ban

备份数据，重做系统。

重做系统吧 然后更换 ssh 端口 证书登录 修改密码或者停用 root

crontab -l

会不会有个定时任务，自动复活挖矿病毒？

当年下班前在阿里云的服务器上装了个 redis，没来得及配置结果吃了个饭的功夫就被黑了

阿里云的 redis 端口没做防护，被美国网址扫描到了，然后就被挖矿了，，，

查看你的定时任务删掉，然后很多二进制文件被替换可能

@ying5201314 第一步要把他往.ssh/authorized_keys 中写的内容干掉，如果 root 删不掉，记得用 chattr 改下属性。
关掉 redis
修改 hosts 把挖矿地址指到 127.0.0.1
接着删掉 crontab 中的内容
清理 tmp 下的挖矿脚本
redis 加密码，做好安全组防护
秘钥登录

镜像还原

我很好奇，它是怎么做到 1 小时后自动创建异常文件的。

我所知道的。 通过

1. @goofool 的 crontab -l，
2. 如果是 debian 的服务器，注册 启动的 service 在下次启动的时候创建异常文件
3. 还有就是通过 /etc/rc.local 来创建文件？
4. 进程存在恶意程序，定时创建异常文件?
5. 通过 ssh 的证书登入，scp 来进行创建文件?

这是什么病毒，能很好的做定时任务的重启，我表示很想学习以下

@nnnToTnnn 还有替换系统自带的命令的

开 ssh，让我上去看看

它会改你的二进制文件，甚至 cd，ls 都是动过手脚的，最简单的就是重装，加强安全防护

1. 你的服务器可能存在某个漏洞，导致黑客能够随时入侵并植入恶意软件。2. 黑客给你的服务器设置了某种后门，即使 kill 进程后也会自动下载运行挖矿软件。

oh , 估计百分之八十可能 redis 未设置密码, 然后 端口开放到公网了吧?

CTRL+回车 怎么就发送了呢.

检查所有用户的 crontab 删除之 , 然后删除异常文件 , redis 设置密码, 不对公网开放 . 修改 ssh 默认端口. 重启 ,解决问题.

如果是 root 进程的,那么重装吧,没有更好办法啦.

如果是普通用户就全部干掉.

唉，我买的 2 个外网 vps 都被黑了，厂商直接关掉我 vps

别用一键脚本，自己重装系统

echo 0 > 挖矿脚本

这样一般可以暂时解决问题

可能楼主已经解决了，我写一下我的解决方案吧。
1 ）先用 top 或 htop 命令查看异常进程的 PID 、用户（ USER ）、执行文件（ FILE ）。
2 ） kill -9 PID (强制停止异常进程)，sudo rm -rf FILE （删除异常进程的执行文件）
3 ） crontab -l (查看定时任务，解决自动恢复，不过一般定时任务没问题， 编辑定时任务用 crontab -e)
4 ） su root ; passwd -l USER (切换 root，并锁定异常账户登录，恢复登录用 pass -u USER)
下面的是重点，用来处理复现问题。
5 ） cd /var/spool/cron/ && ll (进入定时任务目录，查看上面 USER 的定时任务，如果确定不是自己创建的，用 rm -rf 命令删除，并排查一下其他用户的定时任务（尤其是 root ）)
6 ） cd /etc/cron.d/ && ll (用 cat 查看这里的定时任务文件或脚本，找到自动恢复病毒的文件，直接 rm 删除)

这里说一下，1：尽量不要用一键脚本，或者用前先读一遍，防止中招（感觉要是会，谁还用一键脚本？所以，建议不用） 2：对于宝塔一键面板，谨慎使用，尤其是第三方个人开发的免费插件（我在第三方插件中发现过挖矿脚本） 3：不必要的端口尽量不要开，避免被扫到。很多时候我们的服务器不做处理，在一些人眼里简直就像裸奔一样。

@poisedflw 感谢老哥，时间过了，不能投币了