1、首先关闭公众看板页面的游客访问权限，因为我们发现此次挖矿软件就是通过公众看板页面SQL注入的

在server配置文件里（server/config/application.yml），修改下配置项dashViewIpHide: no，然后重启server程序即可

2、删除挖矿软件，Linux路径/var/tmp/schost，然后杀死它的进程schost

如果我们发现主机有这个恶意文件，那么先删除文件，再kill掉进程

一般被安装挖矿软件的主机cpu达到100%，而且在异常进程模块也可以看到此进程

3、清理wgcloud数据库中的表SHELL_STATE，下发指令中的恶意指令记录

使用如下SQL指令，删除表SHELL_STATE中包含IP107.189.18.77的恶意指令

delete from SHELL_STATE where SHELL like '%107.189.18.77%';

系统默认会清理30天前的SHELL_STATE已经执行过的指令数据，不过保险期间我们还是手动清理下

4、关闭下发指令功能，等升级到v3.6.0再开启此功能

在server配置文件里（server/config/application.yml），修改下配置项shellToRun: no，然后重启server程序即可

完成

经过以上操作步骤后，就可以在不升级到v3.6.0版本的情况下，安全使用了，不过建议有时间还是升级下版本