了22远程端口。从这点基本可以确认服务器已经被入侵了。 二、日志分析 猜想黑客可能是通过SSH ...

一般情况下，挖矿病毒都是自动扫描+自动挂马生成的，并不会是有专人进行攻击，所以也比较好清除，注意清除之后需要 check 有无后门。 最重要几点（也可能是被hack的原因）：禁止 ROOT 用户登陆，ROOT 不能使用弱密码，FRP 需要配置，不能使用默认选项。 挖矿进程占用的 CPU 资源 ...

: 1.存在系统漏洞 2.由于前期运维在服务器上装了一些工具软件，会不会工具软件引入的病毒 3. ...

收到中毒邮件通知 收到通知后思前想后，也不知道问题在哪，第一次遇到这事…… 分析 一查这是个挖矿软件，遂进入该目录 crontab 是定时任务，打开一看是： curl 是下载命令，定时下载init.sh脚本，浏览器手动下载后，立马被火绒拦截。我把它救出来后打开脚本，正是下载病毒 ...

发现病毒入侵历程： 昨天正常网上遨游在技术天地中，忽然发现网络变得异常卡顿，解析网站变得很慢 甚至打不开，我的第一反应就是DNS可能出了问题，然后ping 域名同时追踪外网地址 ，并同时ping包结果都没有问题。然后就启动测速软件，测速结果3M不到，我的网络环境是电信200M+联通300M ...

0x00 背景 周一早上刚到办公室，就听到同事说有一台服务器登陆不上了，我也没放在心上，继续边吃早点，边看币价是不是又跌了。不一会运维的同事也到了，气喘吁吁的说：我们有台服务器被阿里云冻结了，理由：对外恶意发包。我放下酸菜馅的包子，ssh连了一下，被拒绝了，问了下默认的22端口被封了。让运维 ...

周一早上刚到办公室，就听到同事说有一台服务器登陆不上了，我也没放在心上，继续边吃早点，边看币价是不是又跌了。 不一会运维的同事也到了，气喘吁吁的说：我们有台服务器被阿里云冻结了，理由：对外恶意发包。 我放下酸菜馅的包子，SSH 连了一下，被拒绝了，问了下默认的 22 端口被封 ...

为了方便远程使用，师弟把实验室的电脑映射的公网上，结果被植入了挖矿程序 挖矿软件是这个，因为已经被清理掉了，所以看不到运行了，不然的话，使用 nvidia-smi 命令可以看到这个挖矿程序在工作。 然后进入到这个进程中， cd /proc/$PID , 查看它的信息 ...