挖矿程序处理[通俗易懂]

大家好，又见面了，我是你们的朋友全栈君。

记一次工作中遇到得挖矿程序处理

首先需要减少中毒得几率, 就是不要把ssh密码设得太简单, 然后ssl端口号改改, 改加的访问次数限制加上, 常用的sql， 代码管理工具等等port也都改掉，管理员权限账户不要多建

挖矿程序特点， cpu占用率贼高300, kill不尽, 会出现一些自己不曾安装过的程序, 库等

挖矿程序一般是杀死不净的, 需要找到程序路径, 以及自启动的脚本

 ls /proc/进程号/exe -la    删掉相关程序

but你会发现, 它在其他地方又新建了脚本

需要寻找根源

我这边挖矿程序自启动是通过crontab启动的, 查看脚本路径crontab -e

记下文件生成的时间， 删除相关文件, 一般在/tmp, /usr/bin, /usr/local/bin下, 至于库文件自行斟酌

删除不掉? 是因为crontab这个文件被写入了文件属性

解决方式

lsattr filename  出现i字样的就是只读文件， root权限也不能修改, 需要chattr -i删除这个属性, 此时操作crontab -e(和vim一样操作)

关于. 文件的删除, 我是直接把整个根目录删除的， 因为是在/tmp目录下， 所有文件重启后都会重新生成的, 不能整个删除的需要做好备份处理

最后试着多重启几次看还有没删除干净的程序没， 隔几天观察， 挖矿程序没有再生成

其他问题,  gitlab打不开的问题, 由于gitlab用到了redis数据库

问题查看过程

gitlab-ctl status ， 启动过一会后会发现redis启动失败

解决方法

cd /var/opt/gitlab/redis/

rm -rf dump.rdb

虽然瞅着不像是挖矿程序造成的, 不过因为是在这个中挖矿程序的时间内发生的，所以姑且算是gitlab服务启动不了的原因吧

日志查看: gitlab-ctl tail, 结果就是这个redis不兼容

可能原因目前还不明, 毕竟gitlab我可是把整个目录都删除掉的， 包括bin文件， 然而重新安装后却和安装前爆的错误一样， 毕竟这个gitlab启动时占用的cpu也挺高的, 都到100了