早晨上班像往常一样对服务器进行例行巡检，发现一台阿里云服务器的CPU的资源占用很高，到底是怎么回事呢，赶紧用top命令查看了一下，发现是一个名为minerd的进程占用了很高的CPU资源，minerd之前听说过，是一种挖矿病毒，没有想到我负责的服务器会中这种病毒啊，赶紧的寻找解决的方法。下面是我把minerd给杀掉的过程，希望对大家有帮助。

步骤如下：

1、关闭访问挖矿服务器的访问

[root@fuwuqi~]# iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
[root@fuwuqi~]# iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、查看定时任务

[root@fuwuqi ~]# cd /var/spool/cron/
[root@fuwuqi cron]# ll
-rw------- 1 root root 263 Nov  2 23:24 root
[root@fuwuqi cron]# cat root

[root@fuwuqi ~]# cd /var/spool/cron/crontabs
[root@fuwuqi crontabs]# ll
-rw------- 1 root root 263 Nov  2 23:24 root
[root@fuwuqi cron]# cat root

注意：

（1）如果/var/spool/cron/root和/var/spool/cron/crontabs/root定时任务中有上面如图所示的定时内容，就把上面的定时任务给删除。再次提醒，只删除上图中的定时任务就可以了，其他的定时任务不要乱删，误删后果自负。

（2）并不是所有中minerd病毒的服务器都会有定时任务，我遇到的就没有定时任务，上面所述是出现定时任务的解决方法。

3、找到挖矿程序minerd

[root@fuwuqi cron]# find / -name minerd*
/tmp/minerd

4、取消挖矿程序minerd的执行权限

[root@fuwuqi cron]# cd /tmp
[root@fuwuqi tmp]# chmod -x minerd

注意：在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

5、杀掉minerd进程

[root@fuwuqi tmp]# pkill minerd
[root@fuwuqi tmp]# rm minerd                          //删除minerd程序

使用top命令查看，发现minerd进程消失，过几分钟之后进程没有再起来，挖矿程序minerd被消灭了，好开心啊！

6、总结：由于服务器上安装了redis，***利用redis的漏洞获得了服务器的访问权限。

7、建议如下：

（1）修复 redis 的配置

a、配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379。

b、配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中。

c、配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给***者使用config指令加大难度

（2）打开 /root/.ssh/authorized_keys, 删除你不认识的账号。

（3）查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉。