服务器关机了怎么办_记一次“艰辛”的服务器反黑过程

写在前面：这是一篇技术post，详细记述了一次作者单位的Linux操作系统反黑过程，如果你不感兴趣，也请对文首的安全建议提起重视并遵循这些建议提升(服务器的)安全性。

安全建议(按照重要性降序排列)

1.不要随意给出root密码，也不要随意把某个账户设置为sudoer，刀架在裆部，sudoer也永远只给一个人2.创建用户的时候，尽量把密码设置的复杂(字母、数字和符号的组合)3.善用本机的防火墙程序，比如CentOS 7的firewall，不要出现绝大多数端口默认开启TCP/UDP这样生物狗的惯用“方便”设置4.尽量保证NAT等等的完整性，谨慎使用SSH reverse tunnel等技术进行内网穿透等操作(不要轻易暴露内网)

至此，对技术不感兴趣的朋友可以不必往下看了。有追求的小伙伴们可以继续读。

反黑过程

今天早上睡得迷迷糊糊被同事电话吵醒了，但是意识模糊，不等接通电话又睡死过去了，然后最终睡醒发现原来服务器被黑了，简直“垂死梦中惊坐起”，赶紧爬起来。详细询问了网管具体情况之后，他给我贴了一张图：

其实Linux操作系统下哪怕一段内存数据、一个进程都是文件形式的，何来“病毒”一说？对方一定是一个恶意脚本文件。留意到红框内的URL的xmrig字样，xmrig^[1]是开源社区“臭名昭著”的挖矿程序，这个URL是矿池地址无疑了。因此我高度怀疑我们这台服务器是被劫持掉为hacker挖矿提供算力了(也就是所谓的肉鸡)。

至于为什么会被劫持，我并不方便透露。

由于xmrig是主要基于CPU的挖矿程序，我第一反应自然是使用htop看一下占用CPU最高的进程是什么：

这很科学，看来我最担心的情况(见下文“进阶”部分)没有发生，可疑的进程是可以被直接观察到的。

这个名为wqj的用户，经过盘查，最初创建的时候，密码居然也是wqj，所以请大家看回上文的“安全建议”，真的不要作死。后来据说这个叫wqj的沙雕很菜且工作不认真，离开了我们单位之后，他的账号也被“删除”了，但是很不幸，执行“删除账号”操作的弟兄不够认真，只是删除了家目录/home/wqj，而没有使用userdel去删除用户，自此留下了安全隐患。

这里要特别鸣谢一下亲师弟朱小煜^[2]同学，没有你的帮助，我不可能在最短时间内掌握详细的hacker入侵的过程，解决问题会变得男上加男。

亲师弟仔细帮我阅读并排查了操作系统安全日志/var/log/secure的内容(我估计眼睛都看瞎了，需要吃鱼补一补？)，我们可以看到以下线索：

首先，hacker早在2月24号就开始动手了，顺利登陆了wqj的账户并且修改了密码。

以及他还顺便scan了一周所有的用户名，看看还有哪个是易于攻击的。我们观察到一些其他的线索显示他对每个用户名都进行了