云服务器被挖，简单信息收集

初步解决服务器被植入挖矿病毒

前情提要

有段时间没有登录服务器了，一大早就接到阿里云打来的电话说我的服务器存在挖矿风险，这让我又惊又喜，这不是送上门的溯源实战嘛（苍蝇搓手）

了解情况

登录我的阿里云，发现cpu直接给干满了，还有有好多告警

赶紧登上我的服务器看看状况，发现那个人是用test用户进行操作的，但是准备查看test用户的操作时发现他把test用户连着组全给删了

查看历史命令的时候感觉密码和密钥都存在泄露的风险，直接全给改掉
接着查看运行的端口与执行的ip，发现用的都不是他自己的ip,都是代理和跳板机
由于水平有限，暂时没有办法了

清理病毒

top一下，查看执行病毒的文件

找到文件所在位置

发现文件里的东西都被隐藏起来了，看不见

直接简单粗暴全文件删除

过了一段时间再次查看cpu运行情况，没有cpu跑满的情况发生
由于本人有点菜
此事也算告一段落