我的阿里云有个进程是exin

很久没登上去看看，发现我的阿里云实例出现了一个cpu占据很高的进程，名称叫做exin，我就知道估计又是一个挖矿啥的，百度了确实了该进程后，我开始尝试解决它

发现：

查看位置

找到位置了，看到执行文件了

将发现的进程号通过kill杀死，再删除文件，但是没用，想都不用想，绝对有定时，绝对死灰复燃

先将系统的定时任务找一找，瞧一瞧，网上找个命令

根据提示，我看看这个位置是啥

大概意思就是说我的root用户有定时，定时任务是启动了一个叫做agetty东西，然后启动的过程日志都丢给linux特殊设备空洞（黑洞）中，也就是找不到日志。

我先把rm -rf定时任务文件给删了

再看看这个文件又是做啥的，

初步看下来就是最后执行我发现的毒瘤exin进程的最后执行文件，这个东西是后台启动使用哦nohub挂起执行的，而且同样不给任何日志信息，再次我真的醉了。

估计没有这么简单，抱着怀疑的太多多了解下定时任务，发现系统定时还没看，刚只是root用户的定时。

我尝试看看

发现这东西已经不新鲜了，在百度上一搜索发现这个也有其他网友被搞过，也自行有一定的方案解决，我看了下我先download看看这东西是干嘛的

有了解过爬虫、linux、网络的都知道，大概就是：定时执行这个脚本，这个脚本做这么一件事：通过经常名称查看这个进程是否在执行，如果没有在执行，我先去http://eknr73utr7u7bzwo.onion.ly/wp-content/ekK9k9Yhtp8Bsul2EmftImLTq1t078ZiP36WCco

这不懂为啥意思，也先不管了，将这个/etc/crontab这个文件内容清了，查不到意思的下方这个定时也清了

暂时把我所找到的所有和exin进程定时相关的文件给修改了或者删除了，进程也杀了，暂时没看到哈问题，先不管了。

总结问题：

说到底就是入侵自己，给种了个进程执行，然后启动各式各样定时来保证你这东西不容易被删除，死灰复燃。每次都是在某个网址能够请求最新的程序脚本。

所到底还是自己的机器主要是学习机器，没有啥东西，端口关闭的不够严格，如果是云服务器的防火墙和安全组应用好来，问题是不大的，但是自己也懒得折腾了.

十来分钟后，检查了自己的博客应用及设计的一些服务软件都重启正常后，就告一段落了。

我真的很烦，这些搞矿的，不道德。我也没见得这个东西到底能带来啥收益，导致要遍地撒网，搞得我这低配机器都要防止工具，记得上次更惨还有守护进程啥的，我也是醉了。

且行且珍惜啊！