|
@ -55,60 +55,6 @@ |
|
|
|
|
|
|
|
|
<img src="img/mod_firewall.png" alt="云主机2" style="zoom:100%;" /> |
|
|
<img src="img/mod_firewall.png" alt="云主机2" style="zoom:100%;" /> |
|
|
|
|
|
|
|
|
**1.5 云主机被挖矿解决方法:** |
|
|
|
|
|
|
|
|
|
|
|
**按以下步骤解决:** |
|
|
|
|
|
|
|
|
|
|
|
**1): top命令,查看cpu使用率很大的情况(top命令的第一列就是进程的pid)** |
|
|
|
|
|
|
|
|
|
|
|
<img src="img/top.jpg" alt="top" style="zoom:100%;" /> |
|
|
|
|
|
|
|
|
|
|
|
**2): 找到矿毒进程** |
|
|
|
|
|
|
|
|
|
|
|
<img src='img/grep.jpg' alt='grep' style= "zoom:100%;" /> |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
**3): 杀死进程(两个)** |
|
|
|
|
|
|
|
|
|
|
|
<img src='img/kill.jpg' alt='kill' style = 'zoom:175%;'/> |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
**4): 删除Linux下的异常定时任务** |
|
|
|
|
|
|
|
|
|
|
|
**crontab -l //查看定时任务** |
|
|
|
|
|
|
|
|
|
|
|
**crontab -e //删除用户的定时任务** |
|
|
|
|
|
|
|
|
|
|
|
<img src='img/query.jpg' alt='query' style= "zoom:150%;/"> |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
**5): 删除文件,删除完后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除。** |
|
|
|
|
|
|
|
|
|
|
|
<img src='img/delete.png' alt='delete' style="zoom:150%;/"> |
|
|
|
|
|
|
|
|
|
|
|
**6): 病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑** |
|
|
|
|
|
|
|
|
|
|
|
**vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥** |
|
|
|
|
|
|
|
|
|
|
|
<img src='img/key.jpg' alt='key' style = 'zoom:100%;/'> |
|
|
|
|
|
|
|
|
|
|
|
**7) 病毒成功删除** |
|
|
|
|
|
|
|
|
|
|
|
<img src='img/deleted.jpg' alt='deleted' style='zoom:100%;/'> |
|
|
|
|
|
|
|
|
|
|
|
**8) 保险起见** |
|
|
|
|
|
|
|
|
|
|
|
**如果CPU还是高速运转,只需重复第一步,因为它的威胁文件被删除了,如果还在跑我们就清理进程,就不会再有了。** |
|
|
|
|
|
|
|
|
|
|
|
**9)预防情况** |
|
|
|
|
|
|
|
|
|
|
|
**预防一:挖矿这种情况,是因为开了8088端口,现在把YARN上的配置文件里的8088端口修改成其它的端口,比如18088端口,然后把云主机的8088端口关闭掉,把18088端口打开就可以了。** |
|
|
|
|
|
|
|
|
|
|
|
**预防二: 设置复杂的密码,外网防火墙放行指定IP**。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|