关于服务被挖矿程序minerd入侵解决方法

今天一早过来，运维同事发现服务器的负载有点异常，打开top一看，发现有个进程一直占用很高的cpu

在opt目录下发现有个异常文件，是个命令文件minerd

在确定跟项目不相关的情况下判断是个木马程序，果断kill掉进程，然后删除/opt下minerd文件

本想这样可以解决，谁想不到15秒时间，又自动启动起来，而且文件又自动创建，这个让我想起了crontab的定时器，果然运维同事一查确实定时器存在一条：，果断删除处理。再杀进程，再删文件；然并卵，依旧起来；

百度资料说该根源可能是通过jenkins开放外网被黑客入侵导致，接着就把jenkins服务停止，把外网端口关闭，顺道把服务器的所有用户密码及ssh改了一遍，再把minerd进程杀掉，删文件，但是还是不行。

http://www.myhack58.com/Article/48/66/2014/56680.htm

继续百度各种资料，检查是否存在其它定时器，在/var/spool/cron/目录下发现有个root用户的定时器文件，以为找到根源了，再次果断删除，结果，还是没有解决；

后面同事在google搜索到了一个资料，

http://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance

各种文件删除都不起作用，原来该木马程序注册了一个“lady”的服务，而且还是开机启动，起一个这个可爱的名字，谁TMD知道这是一个木马。

把lady服务停止，删除开机启动，删除文件，恢复正常！

---2017 02 21 补充

很有网友也遇到跟我同样的问题，但是木马程序确实有点嚣张，通过利用redis的免帐号密码漏洞进行入侵

http://blog.jobbole.com/94518/

1. 修复 redis 的后门缺陷

1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379
2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
4. 好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的密钥

3. 删除用户列表中陌生的帐号

参考文献：

 redis未授权访问漏洞：http://blog.csdn.net/hu_wen/article/details/55189777