没错,又被挖矿了…
上次被挖矿也记录了一篇:记一次解决被恶意植入挖矿程序kdevtmpfsi的过程
同事反馈测试服务器elasticsearch连接超时
打开ssh连接过程中,发现一直在连接中,迟迟连接不上。首先怀疑是不是网络出问题了
隔了一会居然连上了,那就不是网络问题,习惯性看下free跟top,结果就发现了异常cnrig进程,占用cpu飙至400%(4个内核占用100%),此服务器配置8h16g
上图可以看到是用户esuser,而这个用户是搭建ElasticSearch时创建的,那就可以得出结论是从ElasticSearch上的进来的,而恰恰esuser用户的密码我怕忘了就设置得及其简单,这个密码暴力破解的程度应该不需要1秒。看来测试环境也不能疏忽啊,不然就没这些不必要的麻烦
# 杀死进程 [root@jszwjs56ji ~]# kill -9 14403 # 全盘搜索相关文件 [root@jszwjs56ji ~]# find / -name cnrig find: ‘/proc/25669’: No such file or directory /home/esuser/cnrig # 删除cnrig文件 [root@jszwjs56ji esuser]# rm -rf /home/esuser/cnrig # 切换至esuser用户,查看是否有定时任务 [root@jszwjs56ji home]# su esuser [esuser@jszwjs56ji ~]# crontab -l no crontab for esuser # 修改当前esuser用户密码 [esuser@jszwjs56ji ~]# passwd Changing password for user esuser. Changing password for esuser. (current) UNIX password: New password: Retype new password: passwd: all authentication tokens updated successfully.后续
感觉应该不会这么简单,先加个后续,如果卷土重来再更新。好在当初创建esuser用户的时候就给了elasticsearch目录的权限…
