我有两台服务器 一台阿里云（web）一台腾讯云（数据库）都是白嫖来的,用来学习和挂载我的博客，一台用来跑Web，一台用来跑数据库，配置都是1核2GLinux系统，这次出现问题的是腾讯云

刚出现我以为是我那台服务器装了太多软件，端口都没改，然后上去把端口，Root权限等等都配置好，结果过几天腾讯云扫描发现有病毒，严重漏洞，没办法又上去一看，直接中了勒索病毒文件全都加密，然后又重装系统（ContOS）更新到最新版本，把配置都整好，本以为这次就大功告成了。

结果半个月过去，就在我以为是平安无事了的时候，博客访问不了。

又开始查日志

根据日志来看应该是数据库来问题了，但是上去看状态也是好的，就是每次异常cpu给我拉满，没法找不出问题先重启，网站又能进了，我也就没管了，过差不多半个月，到了我的写流水账日子，发现又出问题了，好家伙，趁着有时间就找找问题，服务器看不出问题，就去代码看看，之前有看到一篇文章有说到.net core 连接池的问题，我就赶紧改了改代码，抱着最后一丝幻想重新发布。结果好景不长，问题又来了，这次还不一样，查看日志显示连接账号出错，我心想着，我也没有改呀，当时正值S10决赛，也没心思整，去服务器上把密码改回来能跑就行，看完总决赛我寻思着来看看，好家伙，又来了，这次下定决心要逮出来。通过我的一番百度和操作发现我的服务器又被黑了，查看服务器日志和监控发现一个可疑ip来自四川自贡，好一个Script kid，问题也找出来了，应该是我的sqlserver 默认端口和登录名sa没改(大意了)，被他给扫了，查看登录用户组发现有一个可疑用户名，还删不掉，随着这条线索继续。

在数据库中发现有定时任务的一个脚本,通过Google大法尝试了不少

在msdb表中发现这么几条可疑数据

将这段可疑代码拿去解密，发现脚本就藏在这里。

最后删除这些job后 就可以成功的把用户名为su这个删除，这次之后就再也发生过了，舒服

USE msdb ;  
GO  

EXEC sp_delete_job  
    @job_name = N'NightlyBackups' ;  
GO  

可参考文章https://www.cnblogs.com/sheldon-lou/p/13730152.html

https://docs.microsoft.com/zh-cn/sql/ssms/agent/delete-one-or-more-jobs?view=sql-server-ver15