记一次服务器攻击解决经历

服务器被攻击

内存/CPU突然100%，百度一通命令找。首先使用

top 

查看进程资源消耗排行。发现有个陌生进程资源占用非常高。

删掉之后内存/CPU瞬间减了80%。显然，没这么简单。过段时间又会重新出现这进程。

根据以下两个前人的经验可以得出服务器给攻击了。

http://blog.51cto.com/402753795/1744285
https://www.dwhd.org/20150908_191437.html#comments

简单来说，有个木马，一直占用内存，并且它可能存在定时任务和开机自启。当进程被删掉，又会在其他目录生成。

道理知道，解决起来也简单了。但是对于一个linux小白来说，太难了。所以这里犯了一个最不该犯的错。

因为要删除定时任务和一些相关的文件，技术有限，有些东西删不了或者找不到。所以我索性删掉了整个目录：其中就包含了：etc/init.d和rc.d文件，没错是整个文件夹。这里面就包含了functions文件。这个文件提供了一些基础的功能。我删掉之后，重启服务后，就连接不上了（远程连接）。最后通过阿里云的 连上去了，但是ping不通，yum 下不了东西，也回复不了文件。当然这些可能只是我太菜的问题。因为以上问题，mysql的数据没法备份下来，远程也访问不了，最后只能重装。至于重装遇到的问题就是另一个故事了。

记住：别乱删文件，尤其是etc里面的，都是一些配置文件。