# 起因

今天，突然间收到阿里云发来的一封安全告警处理的邮件，然后登录到阿里云工作台，在安全告警处理页面看到有很多紧急告警项，此时意识到自己的云服务器被攻击了，阿里云识别出的是植入挖矿程序，这种挖矿程序会占用服务器 99% 的 CPU，严重影响正常的运行。

继续往下看，可以看到攻击入口是通过暴力破解了服务器子用户 git 的登陆密码进到服务器里的，也怪自己当时子用户密码设置的比较随意

# 解决办法

从分析中看到进程命令行是./tti，然后登陆到服务器里面，运行 top 命令，看到第一行正是因为 git 用户的 tti 命令使得 CPU 占满

看到这，第一反应，是直接执行 killall tti ，杀掉这个进程，但是过了一会发现 CPU 又爆满了，emmmm，这可能是一个定时任务，又运行 ps -ef | grep tti 搜索 tti 命令的进程，找到这条进程，可以看到 tti start 命令是在 /var/tmp/.wintsk 目录下面，此时再到 /var/tmp/ 目录下面，执行 ls -al ，找到.wintsk 文件夹，再强制删除 rm -rf .wintsk ，最后将进程杀掉 killall tti ，这样挖矿程序就彻底移除掉了。

注意：在 /var/tmp/ 目录下面，执行 ls -al 时要加上 - al 参数，因为.wintsk 文件夹是隐藏的，（藏得很深）

你也可以通过 crontab -l -u git 命令根据指定用户查询所有定时任务，来找到挖矿程序运行目录

# 修改密码

在处理完挖矿程序后，千万不要忘记把原来子用户 git 的弱密码修改一下，如果不改的话，下次别人还会通过暴力破解密码来进入到你的服务器里。修改子用户密码可以通过 passwd git ，也就是 passwd 命令加上你的子用户名

注意：linux 提醒你密码设置的太简单，所以密码尽可能设置复杂一点，增加暴力破解的难度

# 结语

以上便是这次处理挖矿程序的经历，记录下来方便以后再次遇见类似问题，也给自己提个醒，毕竟服务器被入侵是很严重的问题，尤其是公司里生产环境服务器。