记一次阿里云服务器被bbb劫持CPU一直跑满

因为之前开放docker端口2375所以服务器就被入侵了，bbb程序一直跑满服务器的CPU，而且关不掉，进程关掉后自己就又启动了，所以是一直有定时任务在背后捣鬼。

执行命令 top   可以看到bbb进程占满了cpu

 

然后通过  ps aux|grep bbb 命令找到文件所在位置 /var/tmp/bbb/bbb 

 

通过 crontab -l 命令查看定时任务

然后执行 echo > /var/spool/cron/root 会发现权限不够 

 

执行  lsattr /var/spool/cron/root 查看特殊权限

       chattr -ia /var/spool/cron/root  清楚特殊权限

再执行  echo > /var/spool/cron/root 成功删除定时任务

然后执行 kill -9 bbb进程号 关闭进程 清理crontab文件

 然后执行 chattr -u /var/tmp/bbb/bbb    

                 chattr -ia /var/tmp/bbb/bbb         清除bbb文件特殊权限

 再使用 rm -rf /var/tmp/bbb 删除源文件

然后 top 查看bbb进程是否被删除

建议2375等一些重要端口，设置为固定来源IP才能访问，不然这些端口很容易被黑客利用