# 今天一個客戶反應他的網站很慢，
# 於是登陸他伺服器發現cpu被拉滿，
# 可能就是中了挖礦的毒

# 先是通過 top 檢視，發現可疑程序 -bash 
# 但是程序都生命週期很短暫，
# 基本是剛看清pid ，程序就結束了

# 然後就決定先修改一下ssh埠，為ssh登陸安全加固，
# 把預設的22埠遮蔽, 
vim /etc/ssh/sshd_config
# 找到 Port 22 ，在這一行前面加一個 #註釋掉，
# 在下面一行寫上修改後的埠號
Port {port}

# 儲存退出後 重啟ssh服務 
service sshd restart

# 接著查看了 ~/.ssh/ 目錄下，發現一個可疑檔案 ruckusapd 
# 把這個檔案刪除

# 這時發現 top 命令，顯示的 
 
-bash 可疑程序一直在運行了, 看到了程序號 
# 通過程序ID檢視程序狀態 (詳情檢視下面截圖)
systemctl  status PID

# 找到了這個程序的載入檔案
/etc/systemd/system/pwnrige.service
# 也發現為什麼那個可疑程序執行完就被刪除的原因
# ExecStart=/bin/bash -c cp -f -r -- /bin/sysdr /bin/-bash 2>/dev/null && /bin/-bash -c  >/dev/null 2>&1 && rm -rf -- /bin/-bash 2>/dev/null
# 找到病毒檔案並刪除， 
rm -rf /bin/sysdr 
# 停止並刪除相關服務 
service stop 
 
pwnrige
rm -rf /etc/systemd/system/pwnrige.service
# 殺掉病毒程序
kill -9 PID