昨天下午下班前收到两条手机短信，一条是阿里云安全监控发现一次异常登录，另一条是发现挖矿程序恶意脚本执行。

当时我还在 ssh 连着服务器，top 查看了一下资源占用，发现 cpu 占用几乎 100%， 其中一个 mysqld 的进程占了很高。

查看 /etc/.x/目录发现了 xhide 文件和 mysqld 文件，还有其他的文件，尝试删除一个文件，结果报 Operation not permitted，lsattr 发现所有文件都有 i 属性，用 chattr -i 后就可以删掉所有文件。

用 lastb 查看最近登录失败的记录，发现最近几天每天都有一堆的登录尝试，感觉有可能被暴破了。

然后发现~/.ssh/authorized_keys 文件昨晚被改动过，添加了一行记录，一定是攻击者利用漏洞上传的可以免密登录，删除以绝后患。

用 crontab -l 查看定时任务没有发现异常。

上网查了一下这个是门罗币挖矿木马，详细分析参考：腾讯主机安全（云镜）捕获 WatchBogMiner 挖矿木马新变种，约 8000 台服务器受控挖矿

吓得我看了下自己的，结果发现啥事没有，几台的 CPU 常年在 6%以下，平均 3%
可惜禁止挖币，不然我自己挖了

跑个 BOINC 呗，造福社会

盲猜要么是 SSH 弱密码，要么是 Redis 弱密码

盲猜 redis 没配置好

正常。谁的学生机没被挖过。