您好，我们服务器由于Redis 没有设置密码暴露到公网被人扫端口扫到后利用crontab 提权后植入勒索病毒，导致文件全部被删，我们登录到服务器就收到提示，叫我们去一个网站交钱才可以恢复(实际你交钱也没有用)

经过这次被入侵，和事后排查问题，我应该可以回答你的问题:

• 安全/登录日志查看，如果发现有个ip不断尝试且授权没有通过，证明他们在猜测密码或尝试提权操作，防火墙先过滤目标ip
• 有工具可以检测操作系统核心文件是否篡改
• 检查系统账号和对应的账号权限是否有问题，如果多出账号或者，普通账号拥有了更高级的权限都要引起重视
• 系统进程检查，平时了解一下进程对应的程序或功能，如果发现异常进程应该kill掉
• 端口检查，防火墙对外的端口一般都和应用对应，发现异常端口同样要搞清楚或者删除
• 其它已知病毒/后门检查，就是当怀疑或能证明一些问题的存在时，应该多去了解别人有没有这种情况，第一时间采取措施，比如我Redis 被黑了，我需要检查crontab 如果证实问题存在，那么我会删除该任务和登录授权文件，改Redis 端口和密码等
• 企业杀毒软件 安全企业针对服务器的软件，不过Linux 上基本都不用

大致我能想到的就这些，希望对你有帮助