没错,又被挖矿了…
上次被挖矿也记录了一篇:记一次解决被恶意植入挖矿程序kdevtmpfsi的过程
同事反馈测试服务器elasticsearch连接超时
打开ssh连接过程中,发现一直在连接中,迟迟连接不上。首先怀疑是不是网络出问题了
隔了一会居然连上了,那就不是网络问题,习惯性看下free跟top,结果就发现了异常cnrig进程,占用cpu飙至400%(4个内核占用100%),此服务器配置8h16g
上图可以看到是用户esuser,而这个用户是搭建ElasticSearch时创建的,那就可以得出结论是从ElasticSearch上的进来的,而恰恰esuser用户的密码我怕忘了就设置得及其简单,这个密码暴力破解的程度应该不需要1秒。看来测试环境也不能疏忽啊,不然就没这些不必要的麻烦
# 杀死进程[root@jszwjs56ji ~]# kill -9 14403# 全盘搜索相关文件[root@jszwjs56ji ~]# find / -name cnrigfind: ‘/proc/25669’: No such file or directory/home/esuser/cnrig# 删除cnrig文件[root@jszwjs56ji esuser]# rm -rf /home/esuser/cnrig# 切换至esuser用户,查看是否有定时任务[root@jszwjs56ji home]# su esuser[esuser@jszwjs56ji ~]# crontab -lno crontab for esuser# 修改当前esuser用户密码[esuser@jszwjs56ji ~]# passwdChanging password for user esuser.Changing password for esuser.(current) UNIX password:New password:Retype new password:passwd: all authentication tokens updated successfully.
后续感觉应该不会这么简单,先加个后续,如果卷土重来再更新。好在当初创建esuser用户的时候就给了elasticsearch目录的权限…