之前機子被人攻擊用來挖礦,究其原因,是因爲系統用戶的密碼設置過於簡單,導致被人盜取並挾持。
現在講下怎麼解決。
1、輸入top指令。查看佔用內存或者CPU較大的進程是哪個。
並且可以看到是使用哪個用戶啓動的。
在這裏查看到是利用mysql用戶啓動進程,進程ID是29795
2、利用lsof指令,查看該進程究竟打開了哪些文件
記錄打開的文件中,異常的目錄及文件
3、Netstat -anp |grep 進程號 查找對外通訊的端口
4、查找musql用戶的定時任務
Contrab -u mysql
5、切換到mysql,並刪除定時任務contrab -l
6、殺死對應的進程 kill -9 29795
7、刪除異常的目錄及文件(來自第2步)
8、刪除mysql連接的.ssh文件
9、修改mysql用戶的密碼