记一次服务器被黑后恢复过程

菜鸡第一次玩云服务器，部署过程开放几个端口后马上就被黑了

记录一下修复过程

1. 删除authorized_keys（因为我没用ssh密钥登录，这个文件直接删除）

   1.1 进入 ~.ssh 路径
   1.2 查看所有文件
   1.3 发现存在 authorized_keys 和authorized_keys2 两个文件
   1.4 用rm删除
   rm -rf authorized_keys
   发现删除不了，提示没有权限（也修改不了该文件，只读属性）
   1.5 chattr更改文件权限
   chattr -RV -ia authorized_keys
   发现提示没有chattr命令，sudo: chattr: command not found
   1.6 查看本机是否有e2fsprogs
   pm -qa | grep e2fsprogs
   发现还是有的，但是命令就是用不了
   
   1.7 卸载e2fsprogs后重装
   yum remove e2fsprogs
yum install e2fsprogs
   1.8 再次尝试使用chattr命令更改文件属性
   chattr -RV -ia authorized_keys
   1.9 再次尝试删除文件
   rm -rf authorized_keys
   删除成功
   1.10 删除authorized_keys2
   rm -rf authorized_keys2

2. 再把植入的文件给删除了
   rm -rf /usr/share/[cmake]
rm -rf /root/.1

3. 发现服务器的curl命令用不了，yum install提示已安装，但是curl时提示command not found
   怀疑是被黑的时候被改动了，只能把病毒文件下下来看一下，发现还真的是
   
   简单来说，把wget修改为wls，curl修改为cls
   知道被搞成什么样了，改回来就简单了

    cd /usr/bin/ 
    ls -a | grep zzh # 查看有没有这个文件，发现还真有
    rm -rf zzhcht  # chattr已经重装好了，这个被脚本修改过的就直接删除
    ls | grep wls  # 查看有没有这个文件
    mv wls /usr/bin/wget  # 改回来wget
    ls | grep cls   # 同样把curl改回来
    mv cls /usr/bin/curl
    curl --help  # 执行正常