这个挖矿病毒是通过：开放的php9000端口或者开放的redis的6379端口且没有设置密码的漏洞入侵。

这里指的开放是外部可以访问这些端口，用telnet ip port就可以测试。

笔者用的是同样的dokcer文件构建的LNMP系统，

在阿里云上重来没有出现过这个病毒，

但在腾讯云服务器就一直有入侵，甚至我用ufw关闭了9000和6379依然无用。

最后，在腾讯云官网，管理【云服务实例】界面的【安全组】里发现，默认居然是开放全部端口。

这条设置使系统中的ufw配置无效，这实在不应该。

阿里云默认只有22，80，3389等必要端口是开放的。

既然发现了问题所在，解决方法就简单，

删除【接收all】的条目，增加必须的22，80，443等端口。