记录一下，服务器又又被黑的一次。

硬抗比较好，节约成本。

我按照你的命令打了 也有这种情况 不然链接才十几。会是这种情况吗？你是怎么提问阿里云的

之前用 TP，也中过一次挖矿

宝塔有漏洞，接手的几个项目都中过挖矿木马

宝塔7.9版本有漏斗，看看是不是宝塔版本没升级

有不懂的地方，为什么是 php-fpm 进程占用高，是 cpu 高负载引起的吗，172 那个是什么IP 它占用进程多的原因是什么

检查下用户目录下有没有隐藏的异常文件夹。之前遇到过类似的挖矿病毒，杀掉进程以后一会又回自动拉起来，最后发现自动拉起的程序都放在用户目录下的隐藏文件夹了，而且还是以系统命令的格式命名的。

不过这种阿里云告警里都会给列出来的，多关注下告警。

再就是安装的第三方软件有上传漏洞，或者密钥泄漏了。安全起见，最好修改下 SSH 密钥（如果有公网访问的话）。

分享一些排查命令吧；

# 查看所有进程
top
# 查看内存占用进程
top -o %MEM
# 查看执行命令
history | grep sh
# 进程若隐藏可尝试【记得备份】
echo “”>/etc/ld.so.preload 
# 在使用，查看进程
top -o %MEM 
# 查看隐藏进程方式2【需要安装，大家自行百度哈】
unhide proc
# 查看进程启动文件
ls -l /proc/进程ID/exe
# 常用挖矿程序 查找 
find . -name xmrig
# 找到启动程序后，记得根据程序启动时间排查执行命令，执行命令角色等等
# 不过还是建议大家重装吧

根据进程占用程度杀死进程，搬迁期间可用

#!/bin/bash

# 设置 CPU 和内存占用的阈值（百分比）
cpu_threshold=60
memory_threshold=80

# 使用 ps 命令查找所有进程，并按 CPU 或内存占用排序
processes=$(ps -eo pid,%cpu,%mem,comm --sort=-%cpu | awk 'NR>1 { print $1, $2, $3, $4; }')

# 遍历所有进程
while read -r pid cpu_usage memory_usage process_name; do
  if (( $(bc <<< "$cpu_usage > $cpu_threshold") )); then
    # CPU 占用超过阈值，终止进程
    kill "$pid"
    echo "进程 $process_name (PID: $pid) 的 CPU 占用超过 $cpu_threshold%，已终止."
  elif (( $(bc <<< "$memory_usage > $memory_threshold") )); then
    # 内存占用超过阈值，终止进程
    kill "$pid"
    echo "进程 $process_name (PID: $pid) 的内存占用超过 $memory_threshold%，已终止."
  fi
done <<< "$processes"

或指定进程

#!/bin/bash

# 请替换为你要删除的进程名称
process_name="your_process_name"

# 设置 CPU 占用阈值（百分比）
cpu_threshold=60

# 使用 pgrep 查找进程 ID
process_id=$(pgrep "$process_name")

if [ -z "$process_id" ]; then
  echo "进程 $process_name 未找到."
else
  # 使用 top 命令获取进程的 CPU 占用百分比
  cpu_usage=$(top -b -n 1 -p "$process_id" | awk 'NR>7 { sum += $9; } END { print sum; }')

  if [ "$cpu_usage" -gt "$cpu_threshold" ]; then
    # CPU 占用超过阈值，终止进程
    kill "$process_id"
    echo "进程 $process_name (PID: $process_id) 的 CPU 占用超过 $cpu_threshold%，已终止."
  else
    echo "进程 $process_name (PID: $process_id) 的 CPU 占用为 $cpu_usage%，未超过 $cpu_threshold%."
  fi
fi

防火墙 ip 禁用

CentOS和Ubuntu个有不同，你记得百度一下
这里是CentOS

# 网络连接查看
netstat -anp
# 禁止某个IP
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="<要禁止的IP地址>" drop'
# 重启保存
sudo firewall-cmd --reload

我还是建议大家别修了，尽早搬迁吧，提供些思路

### 历史执行命令
history
### 日志查找
### **Linux 系统日志文件**
cat /var/log/syslog
cat /var/log/messages
### **防火墙和安全相关的日志文件**
cat /var/log/iptables.log
cat /var/log/ufw.log
cat /var/log/firewalld
### **SSH 日志**
# 一般会被删掉。。。
cat /var/log/auth.log
cat /var/log/secure
### **Web 服务器日志（例如 Apache 或 Nginx）**

还得禁止可疑用户的登录，啊，麻烦

cat /etc/passwd
vi /etc/passwd
# 改为 nologin
/usr/sbin/nologin

有防火墙好一些吧

一旦发生这种问题，大概率系统命令也被替换了。比如cd ls 甚至是你的top。非重装系统不可，每一次你的cd，top命令都是在启动一次病毒进程。

> netstat -an | grep ESTABLISHED | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr
    228 127.0.0.1
     22 220.200.58.145
     12 43.140.47.111
      7 223.104.51.133
      6 112.111.55.186
      4 112.111.55.58
      2 169.254.0.55
      1 59.57.195.57
      1 183.253.77.170
      1 169.254.0.138
      1 162.243.136.79

去测试服务器看，有这么多 127.0.0.1 是正常的吗，项目用的是 nginx 反向代理到 swoole

自己部署宝塔云服务，专业版直接开整

@LnSonG 咱也研究一下，这个服务器的问题。

我之前也中过一次，然后发现这个实际上是伪装成 date 命令。然后排除掉就没事了。

这玩意都是带着伪装的，实际排除还是很难的