diff --git a/img/delete.png b/img/delete.png new file mode 100644 index 0000000..5413441 Binary files /dev/null and b/img/delete.png differ diff --git a/img/deleted.jpg b/img/deleted.jpg new file mode 100644 index 0000000..b1304d5 Binary files /dev/null and b/img/deleted.jpg differ diff --git a/img/grep.jpg b/img/grep.jpg new file mode 100644 index 0000000..cb82d9c Binary files /dev/null and b/img/grep.jpg differ diff --git a/img/key.jpg b/img/key.jpg new file mode 100644 index 0000000..61212ef Binary files /dev/null and b/img/key.jpg differ diff --git a/img/kill.jpg b/img/kill.jpg new file mode 100644 index 0000000..61d8e6a Binary files /dev/null and b/img/kill.jpg differ diff --git a/img/query.jpg b/img/query.jpg new file mode 100644 index 0000000..4d6a560 Binary files /dev/null and b/img/query.jpg differ diff --git a/img/top.jpg b/img/top.jpg new file mode 100644 index 0000000..3a79402 Binary files /dev/null and b/img/top.jpg differ diff --git a/user_manual.md b/user_manual.md index 39d01ed..83a4730 100644 --- a/user_manual.md +++ b/user_manual.md @@ -55,6 +55,64 @@ 云主机2 +**1.5 云主机被挖矿解决方法:** + +​ **按以下步骤解决:** + +​ **1): top命令,查看cpu使用率很大的情况(top命令的第一列就是进程的pid)** + +top + +​ **2): 找到矿毒进程** + +grep + + + +​ **3): 杀死进程(两个)** + +kill + +​ + +​ **4): 删除Linux下的异常定时任务** + +​ **crontab -l //查看定时任务** + +​ **crontab -e //删除用户的定时任务** + +query + + + +​ **5): 删除文件,删除完后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除。** + +delete + +​ **6): 病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑** + +​ **vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥** + +key + +​ **7) 病毒成功删除** + +deleted + +​ **8) 保险起见** + +​ **如果CPU还是高速运转,只需重复第一步,因为它的威胁文件被删除了,如果还在跑我们就清理进程,就不会再有了。** + +​ **9)预防情况** + +​ **预防一:挖矿这种情况,是因为开了8088端口,现在把YARN上的配置文件里的8088端口修改成其它的端口,比如18088端口,然后把云主机的8088端口关闭掉,把18088端口打开就可以了。** + +​ **预防二: 设置复杂的密码,外网防火墙放行指定IP**。 + + + + + ### ******请各个实验室节约使用资源。对于浪费资源的实验室,平台管理员可能会降低或暂停分配配额。请实验室管理员做好资源使用日常监督管理工作。******