手把手教你如何解決服務器挖礦病毒

今天一早打開服務器發現卡的不行，因而使用top命令查看了一番，果真不出所料，服務器被挖礦了，下面帶來完整的解決辦法！

---

 

1、分析產生緣由

我是用的docker部署的環境，docker ps 查看一下，發現只開了三個，頗有緣由是redis被攻擊了

順便用jps命令查看一下有無運行的java進程，發現有一個（是前幾天用的solr沒關）

 綜上緣由：redis在阿里雲控制檯我本身改了端口也只是放行我本身的ip地址用了幾個月沒問題因此不是redis形成的，是剛用solr忘了改端口和限制放行地址而且solr也有漏洞容易被攻擊

2、使用find命令找到這個進程的位置

find / -name kdevtmpfsi(這個是進程名字,這個命令執行期間須要很長時間請耐心等待，必定會找到的)

 找到以後進入這個目錄，查看子文件,發現有這個挖礦文件的存在，你先別刪刪不掉的，你刪了他又會重啓（因爲守護進程的緣由）

 3、找到挖礦程序的守護進程並kill它

把這個守護進程kinsing殺掉就行

若不刪除守護進程，則你刪除挖坑程序，守護進程會一直重啓它

4、刪除守護進程的文件

5、刪除挖礦程序的全部文件

將這個目錄下面的臨時文件刪光，一路yes便可

 

 6、殺死挖礦進程便可

按順序到了這一步，發現殺死它後過好長一段時間他都不會重啓了

一段時間事後挖礦程序並無重啓，完成了百分之九十了

 

7、最重要的一步刪除它的定時任務！

這一步必定要作，這是挖礦的定時任務，隔必定時間就會重啓，可能今天沒問題過個兩天他又重啓了，因此頗有必要

crontab -l   查看定時任務
crontab -r   刪除全部定時任務

 到這就結束了，solr的漏洞確實多，必定要記得改端口和限制放行地址！！！