阿里云服务器因为开docker端口被黑

如上图，被一个叫“sshd -D”的脚本命令CPU拉到100%，其伪装成sshd，其实是一个恶意程序。

通过top -H -p 【pid】 等命令，如下图

再用gdb -p【pid】跟进，发现是位于 /usr/bin/sshd -D

然后尝试删除，发现root也没有权限删掉。用 lsattr查看隐藏属性，发现加了 e 和i 不允许更改。

所以尝试用chattr给他把这个属性干掉，发现chattr这个命令也被修改了，不能正常使用。可以通过下面两张图对比发现，恶意程序的植入和这个命令的修改时间是一致的。

所以只好自己编译一个chattr命令来解决：

chattr源码：https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c

安装GCC：

yum install gcc
yum install gcc-c++

编译：

gcc chattr.c  -o chattr

这个就创建了一个新的chattr,

修改隐藏属性：z

./chattr -i "/usr/sbin/sshd -D"
./chattr -e "/usr/sbin/sshd -D"

删除恶意程序

rm -rf "/usr/sbin/sshd -D"

同时将被替换的chattr一同删除

./chattr -i -a -e /usr/bin/chattr
 rm -rf  /usr/bin/chattr

重新下载包含lsattr和chattr的工具包

yum install e2fsprogs

最后做一些清理工作

改sshd的端口并重启

vim /etc/ssh/sshd_config
service sshd restart

改sshd的端口并重启

vim /etc/ssh/sshd_config
service sshd restart