阿里云新服务器发现被植入挖矿程序

原因：
1，redis不设防；
2，没开防火墙；

现状：
1，root登录权限丢失；
2，木马程序在跑；

处理过程记录：
1，在阿里云控制台启用并重置root密码；
2，用密码登录ECS；
3，查看原先设置的key列表
    cat /root/.ssh/authorized_keys
    发现自己人的key全被干掉了，只有挟制者的key

4，干掉挟持着key,重配自己人的key。
    /root/.ssh/authorized_keys 被加锁，设置只读。
    尝试授权 chmod 600 ./authorized_keys，失败
    查看文件属性 lsattr /root/.ssh/authorized_keys，发现有 i 锁
    尝试解i锁，chattr -i /root/.ssh/authorized_keys，失败，不存在 chattr（真是聪明，知道要怎么治他，连工具都干掉了）
    安装工具，yum -y install e2fsprogs，说 已经安装过了（聪明+1，只把二进制文件改名给我藏起来了，不找了）
    卸载工具，yum remove e2fsprogs，成功
    再装，yum -y install e2fsprogs，成功
    再解锁，chattr -i /root/.ssh/authorized_keys，成功
    再授权，chmod 600 ./authorized_keys,成功
    删掉挟持者的key，加自己的key，vim /root/.ssh/authorized_keys，成功
    
5，看看这厮上来干了什么
    history，看不出啥，肯定擦掉了脚印
    看CPU使用情况，top，发现 几个异常进程 AliYunDun、aliyun-service、yd-service（一个挖矿进程、两个守护进程，还起个aliyun的名字）
    查看进程，ps -ef|grep AliYunDun，得到进程号
    强制杀掉，kill -9 进程号
    找这些东西在哪儿，find / -name 'AliYunDun' 。。。 在 /usr/local/ 和 /usr/local/share/
    删掉，rm -rf /usr/local/assist
    (肯定有开机启动脚本或服务，一般为了免系统依赖，会做成启动脚本)

6，找开机启动脚本或服务
    找启动脚本第一处，cat /etc/rc.d/rc.local，正常
    找启动脚本第二处，cd /etc/rc.d/init.d，发现一个assist（文件属性改成此目录其它脚本创建时间了，聪明+1）
    先删掉这个启动脚本，rm -rf /etc/rc.d/init.d/assist
    再看自启动服务，systemctl list-unit-files | grep enable，防火墙给我设置成不启动了，发现aliyun.service、AssistDaemon.service
    停掉它们，systemctl disable aliyun.service，systemctl disable AssistDaemon.service，成功
    把防火墙放出来，systemctl enable firewalld.service，成功
    设置白名单，重启防火墙，
        systemctl start firewalld.service
        firewall-cmd --zone=public --list-ports，只有3306
        关掉3306，放开80，firewall-cmd --zone=public --remove-port=3306/tcp --permanent ，firewall-cmd --zone=public --add-port=80/tcp --permanent
        firewall-cmd --reload
        systemctl restart firewalld.service
    ok，开机启动干净了，防火墙也正常了

7，重启ECS看看
    reboot，一切正常

8，关掉root密码登录，启用key登录
    vim /etc/ssh/sshd_config
    PubkeyAuthentication yes
    PasswordAuthentication no 或 注释掉

应该是好了。注意防火墙不要关闭，redis需要控制一下权限。