前言

前段时间发现服务器上的网站基本上都无法访问，连SSH都登不上了。我心想，是不是阿里云网络故障了啊。结果登录到阿里云控制后台一看，服务器带宽跑满，CPU一直处于高负荷状态，麻痹的，我当时就断定是被迅雷盯上了（以前被迅雷伤过）。然后果断远程链接终端，停掉了nginx，想查查是哪个文件被迅雷盯上了。结果，并没有任何卵用，带宽还是满跑，CPU还是居高不下。坏了，被人黑了。

处理

top一看，有个叫ll2266的进程一直处于顶端。这是个什么玩意？一看名字就知道不是个正常的玩意。lsof 看了下进程文件，发现在/tmp目录下果然有个可执行文件叫ll2266，而且还设置了读写保护，直接用rm命令会提示权限不足无法删除。
于是chattr -i去掉保护，删除之，干掉进程。整个世界都清净了。

小样，你弱爆了。哥分分钟就把你踢出局了。

于是我满心欢喜的关掉了远程，网站访问页正常了。再回到阿里云一看云盾。报告有个紧急事件。

再一看漏洞，有两处sql注册。就这样，被人强奸进来了。修复之，幸好没发生什么大事情。洗洗睡觉。

没想到

昨天，加班到很晚，没事又打开网站看一下，结果，草！又访问不了了。赶紧登录阿里云控制后台一看，麻痹的，又出现之前一样的情况了。

于是就跟以前一样的处理方式，杀掉进程，删掉文件。心想再查查有没有啥漏洞没修复的。然而当我处理完之后傻眼了。删掉/tmp/ll2266没过十秒钟，又会出来一个一样的。怎么删，都会重新创建，重新执行。

这下蒙圈了，Inotify监控了一下tmp目录，只要我删掉，5秒钟之内这个文件又会被创建，并赋予可执行权限10次。这让我去哪里找创建它的进程啊。。。。

于是乎，翻遍了我大谷歌，也没发现有任何关于ll2266的搜索结果。没辙了，重启下试试，看还会不会创建吧。

居然在启动日志里面看到了这个，看了一下这个文件，里面就一句代码/tmp/ll2266，就是开机的时候执行ll2266这个木马文件。还是没有思路啊，这又不是创建木马的进程文件。搜索一下吧。幸运的是总算找了到了一位大牛也遇到这样的情况，按照它的步骤，总算是顺利的干掉了这个木马了。

传送门

clamscan了全盘，结果发现确实好些文件被感染了。

整个世界，终于算清净了。