原因:solr漏洞,可升级到solr7.0以上版本,解决漏洞:http://blog.nsfocus.net/cve-2017-12629/
解决挖矿的文章:
总结的如下:
1、top 查看飙高的进程
2、查看进程所在路径,cd /proc/pid号 ls查看cwd命令路径或find进程名
1、ll /proc/1234
2、假如进程名是qW3xT.2则执行命令find / -name qW3xT*查找进程文件
3、清除进程文件
rm -rf /var/tmp/*
4、查看木马程序(参看:https://blog.csdn.net/mynamepg/article/details/82984365)
:
5、定时任务中清除可疑的程序、或关闭定时任务(shell中的crontab定时任务:https://blog.csdn.net/mynamepg/article/details/82984301)
a、编辑定时任务或删除
编辑:
1、crontab -e
2、vim /var/spool/cron/root
删除计划任务:
1、crontab -r
b、关闭定时任务
查看crontab服务状态:
service crond status
关闭、开启定时任务
/sbin/service crond start //启动服务
/sbin/service crond stop //关闭服务
查看crontab服务是否已设置为开机启动,执行命令:
ntsysv
加入开机自动启动:
chkconfig –level 35 crond on
6、杀死、清除挖矿程序的守护进程(可能没有守护进程)
7、杀死挖矿程序
kill -9 1234
最终的解决方案:阿里云安全组过滤网络入方向、出方向的ip及端口
1、阿里云报的问题:病毒文件地址:http://192.99.142.248:8220/mr.sh
2、阿里云安全组的问题地址:http://www.pgygho.com/help/fwq/7591.html
3、屏蔽