几台服务器被黑了挖矿去了，求问怎么办

btfs · 发表于 2024-9-3 07:18:55

目前每台服务器都有个qli-runner的进程显示位置是/q 吃满CPU

我删除了qli-runner 进程和/q 过几秒就重启目录位置还是/q 问题是/q 我删除了啊

而且我last找不到登录记录不知道怎么弄的

似毛非毛 · 发表于 2024-9-3 07:49:28

被黑了挖矿的话。找到配置文件的钱包地址，投诉把它钱包封了。。
服务器的话重装吧。不干净了。排查不如重新部署快~

或者可以试试这个卸载步骤

# stop service
systemctl stop qli --no-block
# remove service definition
rm /etc/systemd/system/qli.service
# reload systemd
systemctl daemon-reload
# remove all related files
rm -R /q
rm /var/log/qli.log

你号没了 · 发表于 2024-9-3 07:51:51

问就是重新部署。

btfs · 发表于 2024-9-3 07:54:15

似毛非毛发表于 2024-9-3 07:49
被黑了挖矿的话。找到配置文件的钱包地址，投诉把它钱包封了。。
服务器的话重装吧。不干净了。排查不如重 ...

额。配置里面的TOKEN是我自己的
SYSTEM服务我也关了
感觉他根本没用/Q文件，但是FINALLSHELL显示文件在/Q
他还能实时调整进程核心数
HEYMMAN重装要5刀要么自己用IPMI 不方便
还想抢救下

Wency · 发表于 2024-9-3 09:21:46

想知道楼主用的什么系统~~~

		自动登录	找回密码
密码			注册

[美国VPS] 几台服务器被黑了挖矿去了，求问怎么办