增加挖矿病毒解决方案

user_manual.md

@@ -55,6 +55,64 @@
 
 <img src="img/mod_firewall.png" alt="云主机2" style="zoom:100%;" />
 
+**1.5 云主机被挖矿解决方法：**
+
+​       **按以下步骤解决：**
+
+​                      **1): top命令，查看cpu使用率很大的情况（top命令的第一列就是进程的pid）**
+
+<img src="img/top.jpg" alt="top" style="zoom:100%;" />
+
+​                      **2): 找到矿毒进程**
+
+<img src='img/grep.jpg' alt='grep' style= "zoom:100%;" />
+
+
+
+​                      **3):  杀死进程(两个)**
+
+<img src='img/kill.jpg' alt='kill' style = 'zoom:175%;'/>
+
+​                   
+
+​                      **4):  删除Linux下的异常定时任务**
+
+​                            **crontab -l     //查看定时任务**
+
+​                            **crontab -e    //删除用户的定时任务**
+
+<img src='img/query.jpg' alt='query' style= "zoom:150%;/">
+
+
+
+​                      **5):  删除文件，删除完后自己可以再检查一下是否还有kdevtmpfsi的相关文件，有的话就继续删除。**
+
+<img src='img/delete.png' alt='delete' style="zoom:150%;/">
+
+​                   **6): 病毒会在你的主机密钥中加入他们的公钥，这是他们留了后门的钥匙，可以免密登录你的电脑**
+
+​                         **vim ~/.ssh/authorized_keys  //打开文件后删除不认识的公钥**
+
+<img src='img/key.jpg' alt='key' style = 'zoom:100%;/'>
+
+​                  **7) 病毒成功删除**
+
+<img src='img/deleted.jpg' alt='deleted' style='zoom:100%;/'>
+
+​                **8) 保险起见**
+
+​                **如果CPU还是高速运转，只需重复第一步，因为它的威胁文件被删除了，如果还在跑我们就清理进程，就不会再有了。**
+
+​               **9）预防情况**
+
+​       **预防一：挖矿这种情况，是因为开了8088端口，现在把YARN上的配置文件里的8088端口修改成其它的端口，比如18088端口，然后把云主机的8088端口关闭掉，把18088端口打开就可以了。**
+
+​       **预防二： 设置复杂的密码，外网防火墙放行指定IP**。
+
+
+
+
+
 ### ******请各个实验室节约使用资源。对于浪费资源的实验室，平台管理员可能会降低或暂停分配配额。请实验室管理员做好资源使用日常监督管理工作。******