记录阿里云被肉鸡的破解方法

5.19号收到阿里云的短信提醒：尊敬的用户，您的云服务器（xxx.xxx.xxx.xxx）存在对外ddos攻击，或已被入侵，会造成您的服务器宕机或者数据泄露。xxxxxxx

5.19号当天我登录服务器查看可疑进程，没有所获。更改了云服务器的密码，包含了大小写，特殊字符

5.20号又收到短信提醒，和5.19号短信一样，仍然存在入侵。

登录阿里云，查看cpu使用率为100%，ps afx查看进程如下

于是猜测，应该是被建立了ssh信任关系

cat /root/.ssh/authorized_keys

果然发现有信任关系

REDIS0006qweA
ssh-rsa uoNrL+gb+9Z6uBPhIdF3Q61WLuNB/nQ83S3o3d6gW9urkYU3/jKO1y7RZ+E/3u5GNrFsdMl4xaLatjcj7KSU6WJo4c90OSu0RhzZLS2jWKOLiWF3JSwoKTXouAfcDebhyt97D/HF/mZsIIG9wZVVZVoqFpm/RSZvsYvDdICy8hk3osVXW5rSw0vpB9uWBSQBfiJ5/eKZBeKSkJE8s3T75/NFrrr0n6A3h7fODsjUTIOYjOcFqAyrzdBG59eo441MaqB4nThGk+007IACZw== root@dedi10243.hostsailor.com

那是hacker是怎么建立信任关系的呢？各种纠结

后来多方排查，发现/etc/init命令被替换，每次重启都会在/root/.ssh/authorized_keys里面种信任关系

没办法了，重新装机解决。（还是重装吧，1没啥服务，2担心其他命令也被替换）

hacker怎么进入还是无法定位，持续纠结。