服务器中木马了，第一时间就是想到给阿里写工单，但是几句话后就发现，好像是他们给下的套一样，交谈大致是：

我：服务器中木马了，请问有解决方法吗？

云：尝试快照回退。

我：运行中的服务器肯定不能回退，况且中木马漏洞没找到危险依旧。

云：点击链接，购买1000多阿里云盾代维。

云：发现你服务器中木马，流量异常，今日不解决将暂停你服务器8小时。

非常恼火，上次公司服务器遭到DDOS攻击，小黑客也类似说给1000就帮忙解决漏洞，停止攻击。去你妹的，阿里是不是养了很多白天吃干饭的，晚上兼职出来恐吓一些维护能力薄弱的小团队的人渣。晚上装黑客造病毒，白天装大神杀病毒敲诈。 好了， 有了病不去医院，自己找找药解决就可以了，同时还学到了医技，下面来总结一下解决的过程。。。

（一）异地登录

我的密码非常复杂，而且很少使用密码登录。他是怎么知道我的密码了呢？这里的他是江苏的一个黑客，下面就称之江黑吧。我首先改了一下root密码。。。 服务器是否有用户登录的记录呢？带着这个问题，我搜索了一些命令:

cat /var/log/secure

确实发现这个ip通过root账号登录进来。那么好了，和我登录信息一比就发现区别了，我登录是通过密码进去的，而江黑是通过publickey公钥登录进去的，这么说江黑已经在上面写入了publickey。这可不妙。速查： root下面确实出现了一个公钥文件，内容为： 带了一个crack字样，可以肯定是江黑所为，所以删掉了这个文件(authorized_keys)。 第二天，又查看了登录记录：   云盾提示的密码破解提示：

发现此江黑贼心不死，陆续变换不同ip尝试登录服务器，没有密码，没有公钥。还不死心，于是我尝试第二种方法：查封ip vi /etc/hosts.deny

将这些ip拉黑，禁止登录。 之后需要重新启动网络： /etc/rc.d/init.d/network restart 看一下江黑是否在当天又创建了新的用户名： Cat /etc/passwd 比较难以发现。。。。 江黑登录不上了就完事了吗？别以为这样就解决了。。。

（二）系统文件被替换，病毒到处复制

这才是最头疼的事情，之前提到江黑通过公钥root登录，之后肯定做了很多惊人的事情。仔细分析，江黑登录时间为12-17。好了，上面木马文件都是12-17日生成的。原来ps文件只有几十k， 而木马仿照的ps文件却有几M。 删除木马ps,ss,bin95。 查看网络异常情况（only server）： 未发现异常情况。 查看所有网络端口占用情况： 发现了一个bin95的病毒文件在执行，ps查询这个进程id，然后杀死这个病毒进程： 上面这个病毒文件联网后，会一直向指定（红色标注）ip一直发送数据，同时自我防卫。 通过ip一查： 找到是躲在江苏南通，ip为180.97.237.232的一个江黑。 删除/mnt/bin95病毒，继续发现/mnt文件夹，原来没有任何文件，12-17日多出了很多文件，皆删之！ 打开cmd.n文件分析： 发现在/tmp下有很多病毒文件，于是又到tmp文件夹中删除12-17号之后的文件。 开机自启动检查：病毒都会自我维护，死了自动起来，所以接下来继续检查/etc/rc.d/rc.local文件夹内容了,也发现了问题： 继续看： 很多12-17日生成的自启动文件，rc0.d-rc6.d所有文件夹都删除之！   最后来一个大清理，对根目录下查起，每个重要的文件夹都打开看，对于12-17日更改的文件仔细甄别，有病毒删除之。Yum install iftop，监控一段时间流量。最后手工杀毒完成！

（三）修复漏洞

第一步江黑无法控制了，第二步病毒杀完了。可能有人说这就解决了。。。 其实问题还没结束，忘了一个最根本的问题：江黑是怎么写公钥到root文件夹的！！下面我就简单说一下，17号本人启动了一下redis，没有设置密码，没有禁止远程登录。。。不一会江黑就发现了，这个好奇怪，莫非巧合还是内部敲诈，这个不说了。。。 修复非常简单，禁止远程登录足以。 此外，通过redis漏洞获取系统root权限可以查看我这篇文章：Redis漏洞而获得服务器权限