这个挖矿病毒是通过:开放的php9000端口或者开放的redis的6379端口且没有设置密码的漏洞入侵。

这里指的开放是外部可以访问这些端口,用telnet ip port就可以测试。


笔者用的是同样的dokcer文件构建的LNMP系统,

在阿里云上重来没有出现过这个病毒,

但在腾讯云服务器就一直有入侵,甚至我用ufw关闭了9000和6379依然无用。


最后,在腾讯云官网,管理【云服务实例】界面的【安全组】里发现,默认居然是开放全部端口。

这条设置使系统中的ufw配置无效,这实在不应该。

阿里云默认只有22,80,3389等必要端口是开放的。


既然发现了问题所在,解决方法就简单,

删除【接收all】的条目,增加必须的22,80,443等端口。