今天一早打開服務器發現卡的不行,於是使用top命令查看了一番,果然不出所料,服務器被挖礦了,下面帶來完整的解決辦法!
一、分析產生原因
我是用的docker部署的環境,docker ps 查看一下,發現只開了三個,很有原因是redis被攻擊了
順便用jps命令查看一下有無運行的java進程,發現有一個(是前幾天用的solr沒關)
綜上原因:redis在阿里雲控制台我自己改了端口也只是放行我自己的ip地址用了幾個月沒問題所以不是redis造成的,是剛用solr忘了改端口和限制放行地址並且solr也有漏洞容易被攻擊
二、使用find命令找到這個進程的位置
find / -name kdevtmpfsi(這個是進程名字,這個命令執行期間需要很長時間請耐心等待,一定會找到的)
找到之后進入這個目錄,查看子文件,發現有這個挖礦文件的存在,你先別刪刪不掉的,你刪了他又會重啟(由於守護進程的原因)
三、找到挖礦程序的守護進程並kill它
把這個守護進程kinsing殺掉就行
若不刪除守護進程,則你刪除挖坑程序,守護進程會一直重啟它
四、刪除守護進程的文件
五、刪除挖礦程序的所有文件
將這個目錄下面的臨時文件刪光,一路yes即可
六、殺死挖礦進程即可
按順序到了這一步,發現殺死它后過好長一段時間他都不會重啟了
一段時間過后挖礦程序並沒有重啟,完成了百分之九十了
七、最重要的一步刪除它的定時任務!
這一步一定要做,這是挖礦的定時任務,隔一定時間就會重啟,可能今天沒問題過個兩天他又重啟了,所以很有必要
crontab -l 查看定時任務
crontab -r 刪除所有定時任務
到這就結束了,solr的漏洞確實多,一定要記得改端口和限制放行地址!!!