top cpu飙高，中了挖矿程序----解决方法

原因：solr漏洞，可升级到solr7.0以上版本,解决漏洞：http://blog.nsfocus.net/cve-2017-12629/

解决挖矿的文章：

1、Emm，qW3xT.2（矿机进程）

2、qW3xT.2，解决挖矿病毒。

总结的如下：

1、top 查看飙高的进程

2、查看进程所在路径，cd /proc/pid号  ls查看cwd命令路径或find进程名

  1、ll /proc/1234

2、假如进程名是qW3xT.2则执行命令find / -name qW3xT*查找进程文件

    

3、清除进程文件

     rm -rf /var/tmp/* 

 

4、查看木马程序（参看：https://blog.csdn.net/mynamepg/article/details/82984365）

:

5、定时任务中清除可疑的程序、或关闭定时任务（shell中的crontab定时任务:https://blog.csdn.net/mynamepg/article/details/82984301）

    a、编辑定时任务或删除

       编辑：

       1、crontab -e

       2、vim /var/spool/cron/root

       删除计划任务：

       1、crontab -r

   b、关闭定时任务

   查看crontab服务状态：

   service crond status

  关闭、开启定时任务

  /sbin/service crond start //启动服务

  /sbin/service crond stop //关闭服务

  查看crontab服务是否已设置为开机启动，执行命令：

  ntsysv

  加入开机自动启动：

  chkconfig –level 35 crond on

6、杀死、清除挖矿程序的守护进程（可能没有守护进程）

7、杀死挖矿程序

     kill -9 1234

 

最终的解决方案：阿里云安全组过滤网络入方向、出方向的ip及端口

1、阿里云报的问题：病毒文件地址：http://192.99.142.248:8220/mr.sh

 

2、阿里云安全组的问题地址：http://www.pgygho.com/help/fwq/7591.html

3、屏蔽