1,最近有人反馈网页打开比较忙，我到服务器上面用top 命令 看了一下

我们看见有一个进程号 6783 的进程消耗cpu比较高。 我们执行一下命令 根据进程号找到对应的执行服务

看到这个东西，我们就知道这是一个挖矿的病毒程序了 这里我们先把他杀死，之后在慢慢剥开他的面纱。 执行 以下命令

在top 看一下

好像没啥用啊，我们在删除试一下

提示我没有权限，但是我是root用户啊，怎么可能没有权限啊。 只有一种可能，文件被锁定，这里我们对文件进行解锁，

发现没有chattr 的命令，这里我们先要执行一下这个 yum -y install e2fsprogs ，完成以后我们就能删除了

top 看一下

进程还存在

再看一下对应的执行程序，

显示已经被删除了。他还在运行，说明有一个守护程序在后台运行 这里我们发现一个异常的.sh

我们把它下载下来，用nodepade++打开，

先看我红线标注的，这就有意思了。首先他设置了免密登录，丫就是root/.ssh 下面的东西我们要先删除。然后使用wget ,curl 下载这几个文件，也就是说下面这几个文件都要删除。

我们先到网上定位一下这个ip, 发现是德国的，境外网站。 在服务器上面ping 一下这个域名

解析出来的ip 是一样的，也就是说这是同一个地址。 这里尴尬的是后缀名是de 的，用whois 解析不出来。万网也不支持该域名的解析。 这里我们只能通过ip 来入手了。

这里我们看到80 端口，开放的，443 端口不开放。也就是支持http,不支持https. 再看一下 22 端口，

我擦 也是关闭的。

这段代码就是每个30秒执行，一下这个脚本，这里就是加入的免密登录的公钥。

给这些文件权限，不能修改。 我们把它全部解除，在删除，再看一下top 的命令

最后总结一下，设置redis 一定要设置密码。切记，切记，切记。