今天一早打開伺服器發現卡的不行,於是使用top命令查看了一番,果然不出所料,伺服器被挖礦了,下麵帶來完整的解決辦法! 一、分析產生原因 我是用的docker部署的環境,docker ps 查看一下,發現只開了三個,很有原因是redis被攻擊了 順便用jps命令查看一下有無運行的java進程,發現有一 ...
今天一早打開伺服器發現卡的不行,於是使用top命令查看了一番,果然不出所料,伺服器被挖礦了,下麵帶來完整的解決辦法!
一、分析產生原因
我是用的docker部署的環境,docker ps 查看一下,發現只開了三個,很有原因是redis被攻擊了
順便用jps命令查看一下有無運行的java進程,發現有一個(是前幾天用的solr沒關)
綜上原因:redis在阿裡雲控制台我自己改了埠也只是放行我自己的ip地址用了幾個月沒問題所以不是redis造成的,是剛用solr忘了改埠和限制放行地址並且solr也有漏洞容易被攻擊
二、使用find命令找到這個進程的位置
find / -name kdevtmpfsi(這個是進程名字,這個命令執行期間需要很長時間請耐心等待,一定會找到的)
找到之後進入這個目錄,查看子文件,發現有這個挖礦文件的存在,你先別刪刪不掉的,你刪了他又會重啟(由於守護進程的原因)
三、找到挖礦程式的守護進程並kill它
把這個守護進程kinsing殺掉就行
若不刪除守護進程,則你刪除挖坑程式,守護進程會一直重啟它
四、刪除守護進程的文件
五、刪除挖礦程式的所有文件
將這個目錄下麵的臨時文件刪光,一路yes即可
六、殺死挖礦進程即可
按順序到了這一步,發現殺死它後過好長一段時間他都不會重啟了
一段時間過後挖礦程式並沒有重啟,完成了百分之九十了
七、最重要的一步刪除它的定時任務!
這一步一定要做,這是挖礦的定時任務,隔一定時間就會重啟,可能今天沒問題過個兩天他又重啟了,所以很有必要
crontab -l 查看定時任務
crontab -r 刪除所有定時任務
到這就結束了,solr的漏洞確實多,一定要記得改埠和限制放行地址!!!