码农的黑客反击战（三）

前言

最近服务器被黑客做了肉鸡，前后已经折腾了两次（码农的黑客反击战，码农的黑客反击战（二）），查杀病毒文件，修改服务器默认配置，经过观察发现，依然没有完全清除干净。具体表现为服务器重启之后过几个小时就会连接不上，阿里云会发送Ping失败异常短信。

【阿里云】您监控ping2_1*4229：PING丢包率，地址xxxxxxxx，17:15在所有节点发生告警，值为100%，请登录云监控平台查看

战败

通过阿里云控制重启之后，SSH又可以登录，在系统里查了半天，再次使用ClamAV杀毒软件扫描，删除了一些被感染的文件之后（没来的及截图），系统彻底异常了，重启之后SSH连接不上了。至此，只能宣布黑客“反击战”(ps:其实算不上反击，只是修复:))失败。

重来

服务器异常连接不上了，但服务器还有很多数据需要回复。后来通过阿里云控制台的工单系统和阿里售后工程师交流，阿里工程师提供了以下解决方案。

按照阿里工程师的方案，手动创建了快照，重新初始化磁盘后，系统恢复正常。然后阿里工程师帮助将快照挂载到系统，从快照文件中复制了原来的数据进行恢复，数据恢复正常。在挂载系统快照的时候，没有挂载成功，后来挂载到了其他服务器上。

反思

这次是第一次遇到服务器被黑的情况，经验不足，也没有相关反黑客经验和手段。虽然作为一个码农，内心当中充满一个高深莫测，一台电脑掌控天下的黑客梦，更多时候也只是看看电影想想而已，惭愧惭愧。

这次也反映自己的知识弱点（对linux系统不熟悉，只会常用应用），也反映了在服务器的一些不规范的使用（运维弱），需要反思学习和注意。知耻而后勇，亡羊补牢吧，新恢复的系统，做了一些安全上的设置和维护，比如升级和安装系统补丁，设置防火墙规则，修改一些软件默认设置（尤其是 有漏洞的软件，比如redis无秘访问，还在外网），重新梳理和规划了服务器分布，能不开外网的情况都不开，需要外网用代理等。

最后

这次也不是一次成功反击，写下来发布出来，一是作为记录，二是如果别的遇到类似情况的人看到，或许能给一些参考价值。结束。