起由

最近在忙着安卓大作业，我做的是后端，用到了Redis，于是我在常用的那个服务器上用Docker搭建了个Redis，但我的springboot出了点莫名其妙的问题：连接不上那个Docker里的Redis！然而其他的springboot项目完全相同的配置就能连的上，而这个大作业后端连本机的redis和那台服务器的新开的Redis都可以连的上。看到这里，我想你可能想知道为啥这句话要加粗？对，就是这里坑了我(其实也是被自己坑的)，55555555555

昨天一直忙着改连不上Redis的bug，不想花太多时间在别的地方，于是一切从简，那台服务器上新开的Redis没有设置密码，我当时是想反正用的不是常用端口（6379被Docker里的Redis占用了，这个我就分了6380），就没设置密码。

今天上午

今天上午起床后打开电脑准备把昨天遗留的一个bug改掉，结果刚刚开机不久就收到了华为云给我发的一个短信，说我的资源涉及对外攻击，要冻结我的IP。我心想可能是中毒了，不行，冻结了我IP麻烦了，这上面部署了挺多东西的，到时候大作业都会更麻烦了。就马上去提交工单，请求帮助和请求不要冻结我的IP。

我就去宝塔看了下，CPU占用100%，于是就打开XShell用top看了下，发现有两个进程都在200%的占用cpu资源。networkmanager、phpupdate想看日志，结果不出所料，这些日志全部清了。

就准备用一些杀毒工具试试，ClamAV，结果发现并清理了一些病毒文件，但还是有很多清理不了的。然后我想起来上次碰到挖矿病毒，直接把进程杀了再把原文件清理了就好了，这次也采用上次的思路。

killall -9 phpupdate
killall -9 networkmanager

发现刚刚杀完之后是降下来了，但一两分钟后又升上去了，就想着可能还有其他进程在启动他们，结果发现有个xxxscan的进程占用10左右的cpu，而且一闪一闪的，一直在换进程号和名字，估计就是这个在启动他们了。后面又想着去清理下这些病毒的文件看看它们还会启动不，用find发现了在/etc下有这两个进程的同名文件，就用rm删除，系统提示无法删除，lsattr看了下，果然有个i属性，chattr -i xxx然后再删了。然而不久，这两个进程又出现了，这两个文件也又出现了……

挺苦恼的，就去用pstree看了下，发现了个pnscan进程下有个.sh文件，去看了下，果然是那些病毒的相关的，太长了，没有完全看，里面大概有些清理日志、下载执行.sh文件、设置不可删除、添加ssh密钥之类的。但这个太长了，我linux只知道一些皮毛，就根据这个上面一些看懂了的来对应措施，完事后发现还是没用。这时候我都想把这些东西备份下，来重装下系统。但这个里面服务有点多，重装怕是得一下午，有点不甘心。好消息是，这时候手机接到短信了，说我的工单被华为云的工程师接到了，在处理。

华为云工单

然后，我就按照要求说了些发现的那些病毒文件，并做了个磁盘镜像后把账号密码给工程师了，然后想着我操作的话可能会干扰到他，就继续去改我大作业遗留的bug了。过了会儿再去工单系统看了下，发现对方回的第一句话就是您好，您之前是否安装过redis，redis没有设置登录密码呢？，我登录上去发现这些进程全没了。心想着，果然牛！然后又给我发了个文档来，里面有他们的处理过程和结果。我按照文档上的提示将工程师标注的一些病毒文件和ssh密钥清理了。

感想

华为云yyds，给我处理之前我一直以为这种得花他们工程师很多时间的事要买他们的一些企业安全服务，要收费，结果免费就帮我弄好了，太感谢了。

还有，平时安全措施要做好，不然数据库被锁了或里面的文件被删了真的会欲哭无泪。

最后再附上发现的病毒的.sh文件和华为云工程师给出的报告