中毒了！ 服务器挖矿木马[kthreaddi]，但是莫名解决了

昨晚兴致勃勃的部署好了MC，今早一看，cpu 100% 负载 100% ，心想不应该啊，于是抱着想看看是什么占用100%，是被人家攻击了还是中毒了，虽然觉得后者根本不可能，但是就是好奇，打开了ssh，运行了top，傻眼了——

这是什么啊，kthreaddi?然后就百度了一下，大标题映入眼帘——服务器挖矿木马

好家伙！

查看了一下宝塔监控，从夜里3：40就开始疯狂输出了，那会都在睡觉，绝对是恶意的攻击，并非是昨晚我瞎整的java有恶意代码。于是着手解决吧，百度顺着链接就点开了——

kill -9 [PID]  //PID是top里查看的

虽然进程消失了，但是他会自动重启，然后迅速的再次占领高地。根据百度到的提示，查看一下端口

netstat -ltnp

什么888,22都是认识的，但是多了一个不知名的52239？端口，还有莫名的路径和PID，猜测应该是这个程序专门来启动病毒的。但是问题是无论是在腾讯云的放行端口防火墙，还是宝塔的安全面板，都没有放行这个端口，这就很疑惑了，就算同时kill这两个PID也依旧会自动重启。

crontab -l

查看到了一只莫名的定时任务，并有文件的链接（没截图，文件名是六位字母数字随机组合，着急解决问题了，，顺着文件目录用winscp找下去，并没有找到这个文件，再次crontab -l，文件路径竟然变了。迅速的手速将他下载下来，在windows上用火绒查杀了一下，果然是木马病毒。

{card-describe title="火绒报告"}
病毒名：Trojan/CoinMiner.fa
病毒ID：dc250bb45c51aaf
{/card-describe}

既然解决不掉那就找centos的杀毒程序吧，但是又不想太麻烦，就去宝塔的自动任务差杀木马，结果并没有什么卵用。又去了宝塔论坛，结果看到了这个

这就很气人了，于是再次运行

crontab -l
crontab -r

直接删除任务计划，然后kill掉那两个PID（kthreaddi和启动他的程序）
然后玄学的来了，前几次并不会有效果，他依旧会自动重启，但是在某一次运行crontab -l后，显示了这个

[root]# crontab -l
no crontab for root

通常来说如果什么都不显示，他还是会反复重启，但是这次写的no crontab，果然就没有自动重启了，而且netstat -ltnp也没有那个奇怪的端口了，就这样莫名的解决了。

博文写完了，这时候再看下面板监控

没毛病了

你的服务器中过病毒么？