阿里云服务器被挖矿攻击，redis无密码访问进入

1.查找进程 top,并删除挖矿进程

top

kill -9 Pid

2. 查询文件所在位置 

find / -name 'processname'

3.进入到文件目录 按时间顺序查找文件

ls -lt //按时间排序

4.删除植入文件

 rm -rf newbat.sh
//报错 rm: cannot remove ‘newdat.sh’: Operation not permitted

5.即使你是root权限，但是你仍然也无法删除，需要进行操作

lsattr newdat.sh

chattr -i newdat.sh

rm -rf newdat.sh //经过上两步操作即可删除root无法删除的文件。

6.修改redis配置文件

vi redis.conf 

//查找requirepass，修改requirepass后内容，保存

requirepass 123456

ps -ef|grep redis

kill -9 pid #redis进程

 

7.重新启动redis

 

8.（后续跟踪） 后面又出现问题，我将0.0.0.0注释掉，修改阿里云登录密码，重新删除上面找到的可疑脚本任务文件，还在观察。

完。

来源：oschina

链接：https://my.oschina.net/u/4303145/blog/4793944