云服务器中挖矿病毒了怎么办？

今天早上一起来，收到几十条阿里云发过来的短信，说的是6379端口已被禁用，好家伙从我redis的端口进行植入病毒对吧，接着登录服务器里面用top命令查看

发现一切都是正常的情况，那我们到阿里云控制台去查看当前实例的情况

果然不出我所料，挖矿程序疯狂压榨我的服务器，导致服务器cup占用率都到100%了

好的，写作素材又有了

首先我们知道服务器中挖矿病毒了，一般情况下中了挖矿病毒,有些病毒入侵较深的话，关联到系统底层组件，是很难彻底清除的.从安全角度不建议继续使用这个系统，可以做好快照的前提下，通过重置系统的方式恢复主机，数据可以通过快照创建的云盘挂载到实例上，拷贝需要的数据。

第一步，所以接下来我们先复制快照。

找到对应主机点击管理

找到系统盘点击创建快照

填写信息后点击"确定"开始创建快照

然后可以到"本实例快照"中确认快照进度到100%后再继续后续操作

第二步，重置系统盘

重置系统盘之前我们需要将主机关机，开机状态无法做重置系统盘操作。

重置系统盘

设置一个新的密码(根据实际情况可以选择密钥方式)

等待重置完成后会自动将实例启动

第三步，使用快照创建云盘

因为快照没法直接挂载到主机，所以我们用快照创建一个临时的云盘用于复制数据。注意：云盘需要和ecs地域、可用区相同。


确认订单后创建磁盘

第四步，挂载云盘并复制数据

找到刚创建的这个云盘，状态是待挂载。到更多–>挂载中选择挂载的主机

选择需要挂载的ECS执行挂载

登录主机可以看到多出来的磁盘

fdisk -l

主机内挂载，我这里挂载到/mnt中

mount /dev/vdb1 /mnt
df -h

到对应目录中(/mnt)即可看到之前系统盘中的数据，我这里的数据可以看到都存在

至此，剩下的就是重新部署应用环境并将数据重新导入到新环境了。处理完成后别忘了将临时云盘释放掉，避免继续扣费。
版权声明：本文部分内容由阿里云开发者社区贡献，部分内容版权归原作者所有，本文只是将自己的操作记录下来，仅供学习使用

接下来我们进入到mnt文件夹中，将里面的数据copy到数据盘中

\cp -rf /mnt/* /

加入反斜杠的目的就是不再询问用户是否覆盖，如果不输入\就会出现下面的情况

数据复制完之后就可以看到我们原来所有的数据都出现在原来的文件夹里面了

这个时候我们删除临时盘，否则会持续扣费


删除快照，否则会持续扣费

至此整个系统就相当于初始化了，这个时候我们再去看一下cup使用率

完美的降下来了，病毒成功删除！

如果上面的方法无效，请直接格式化云盘！！！