六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法_c3pool.org

查看进程：top
1

发现一个command为java的程序一直在偷吃我的cpu，逗我玩，我的java怎么可能会偷吃，一开始还真以为是java文件

查看进程命令：top c
1

一看，是一个在/var/tmp/java下的文件，阿里云的态势检测有一个非法下载异常和一个挖矿木马程序

11.09分被非法下载下载下来的，11分被执行，短信就过来了，不用看了就这家伙，谁知打开一看，乱码，不慌，先把起权限降为只读。
先把木马进程杀掉和所有执行计划停止掉（或删除掉）
service stop crond 或 crontab -r 删除所有的执行计划

我一不小心就把执行计划删除掉了，不过删除前我已经把这个计划文件找到了在：/var/spool/cron下，最可恶的是，文件还伪装成我的用户名"ljj"，一眼看过去就知道不是我，我们不一样。
打开名为ljj的文件：

把标准输出流放到回收站中，标准错误流放到标准输出流中，也跟着进了回收站/dev/null，因此没有错误消息显示出来。
顺便回头把/var/tmp下假java文件也删掉。

最后提一下，我是被入侵yarn的端口8088，可以通过相关端口进入管理页面查看发现有一堆正在执行的任务，注意做好相关措施，防止匿名用户登录。