记一次服务器被病毒crypto和pnscan入侵经历

被攻破原因

端口开放过多，导致其根据redis的默认端口成功入侵；

攻击流程

根据端口入侵后，获得了root权限，并获得ssh后门；

攻破现象

负载百分之100久居不下,每时每刻都从他们的服务器下载脚本文件到我的服务器，俩天时间差不多10w个文件了。

尝试解决

被攻破后 使用top看到了一直占用cpu的是病毒pnscan+crypto根据文章http://blog.itpub.net/69988117/viewspace-2773055/尝试杀掉了其进程，负载掉了下来，文件不再生成。

再次被攻破

在周日解决后本以为告一段落，周一敲着敲着又满载了，一看又是crypto，他的相关文件我是该删就删了。。

然而又出现了 ，如法炮制杀掉进程，负载又下来了。。

再再再次被攻破

还好是测试服务器，没有重要数据，又一次被满负荷，这次直接初始化云盘，之后就再没这个问题了。

总结

遇到了这种挖矿病毒，如果没有做备份和镜像 基本gg，他入侵系统后，吧很多系统组件给你改了，搞了一堆定时任务，藏在你的服务器 你根本没法完全清除他带来的损伤，root账号都被攻破。。 能重装就赶快把。。