今天一早打開服務器發現卡的不行,于是使用top命令查看了一番,果然不出所料,服務器被挖礦了,下面帶來完整的解決辦法!
一、分析產生原因
我是用的docker部署的環境,docker ps 查看一下,發現只開了三個,很有原因是redis被攻擊了
順便用jps命令查看一下有無運行的java行程,發現有一個(是前幾天用的solr沒關)
綜上原因:redis在阿里云控制臺我自己改了埠也只是放行我自己的ip地址用了幾個月沒問題所以不是redis造成的,是剛用solr忘了改埠和限制放行地址并且solr也有漏洞容易被攻擊
二、使用find命令找到這個行程的位置
find / -name kdevtmpfsi(這個是行程名字,這個命令執行期間需要很長時間請耐心等待,一定會找到的)
找到之后進入這個目錄,查看子檔案,發現有這個挖礦檔案的存在,你先別刪刪不掉的,你刪了他又會重啟(由于守護行程的原因)
三、找到挖礦程式的守護行程并kill它
把這個守護行程kinsing殺掉就行
若不洗掉守護行程,則你洗掉挖坑程式,守護行程會一直重啟它
四、洗掉守護行程的檔案
五、洗掉挖礦程式的所有檔案
將這個目錄下面的臨時檔案刪光,一路yes即可
六、殺死挖礦行程即可
按順序到了這一步,發現殺死它后過好長一段時間他都不會重啟了
一段時間過后挖礦程式并沒有重啟,完成了百分之九十了
七、最重要的一步洗掉它的定時任務!
這一步一定要做,這是挖礦的定時任務,隔一定時間就會重啟,可能今天沒問題過個兩天他又重啟了,所以很有必要
crontab -l 查看定時任務
crontab -r 洗掉所有定時任務
到這就結束了,solr的漏洞確實多,一定要記得改埠和限制放行地址!!!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/238967.html
標籤:其他
上一篇:Linux 檔案|目錄 屬性
下一篇:Linux 用戶、用戶組管理