使用top查看信息
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1047 hadoop 20 0 113132 4364 3336 S 178.5 0.1 0:00.02 sysupdate 1137 hadoop 20 0 18656 11196 4700 S 22.0 0.1 0:00.92 networkservice发现有两个异常进程.sysupdate,networkservice. 通过ls -l proc/{进程号}/exe命令查看两个进程文件所在的位置.
ls -l proc/1047/exe lrwxrwxrwx 1 hadoop hadoop 0 10月 31 13:01 /proc/1047/exe -> /tmp/sysupdate ls -l proc/1137/exe lrwxrwxrwx 1 hadoop hadoop 0 10月 31 13:01 /proc/1137/exe -> /tmp/networkservice 先修改/tmp/目录下的文件权限为000(我这里tmp目录下没有放其他的文件,如果放有其他文件,排除不属于sysupdate,networkservice.的文件) chmod 000 /tmp/ 切换用户删除定时任务(我这里只有这一个任务,如果多个,crontab -e中删除指定的任务) crontab -r 清理进程 kill -9 1047 kill -9 1137 修改hadoop下的yarn-site.xml配置文件(这里主要是修改8088端口,这个端口应该是挖矿入侵的端口) <property> <name>yarn.resourcemanager.hostname</name> <value>bigdata</value> </property> <property> <name>yarn.resourcemanager.webapp.address</name> <value>${yarn.resourcemanager.hostname}:28088</value> </property>停止集群stop-all.sh后 ,重新启动集群start-all.sh
删除/tmp目录下的文件(可以指定删除和sysupdate,networkservice相关的文件)
rm -rf /tmp/*