生產(chǎn)機(jī)器被植入`kdevtmpfsi`挖礦程序處理

發(fā)布時(shí)間：2020-04-10 15:02:23 來源：網(wǎng)絡(luò) 閱讀：342 作者：鐵血軍人欄目：系統(tǒng)運(yùn)維

生產(chǎn)機(jī)器被植入`kdevtmpfsi`挖礦程序處理

事情經(jīng)過

1, 手機(jī)釘釘收到報(bào)警信息,說阿里云的一臺機(jī)器負(fù)載過高
2, 根據(jù)報(bào)警信息我們登錄到這臺機(jī)器上使用 uptime 命令查機(jī)器負(fù)載
生產(chǎn)機(jī)器被植入`kdevtmpfsi`挖礦程序處理 ![]
然后這臺機(jī)器的 CPU 是 8 核的,可以判斷出來 CPU 負(fù)載確實(shí)高了
3,這個(gè)時(shí)候通過命令 mpstat 查看到底是應(yīng)為 CPU 還是磁盤造成的負(fù)載高

我們可以看到 CPU 使用率基本上每核都達(dá)到了 100%,
4,緊接著我們使用命令 pidstat 來查看到底是哪個(gè)進(jìn)程占用那么高的 CPU
生產(chǎn)機(jī)器被植入`kdevtmpfsi`挖礦程序處理
從這里面我們可以看出進(jìn)程 PID 為 28245 的進(jìn)程占用我們大量的 CPU,這個(gè)進(jìn)程看著很陌生,不是我們自己的程序,于是就去百度下這個(gè)

發(fā)現(xiàn)這個(gè)是一個(gè)挖礦病毒,然后心里想 mmp,
現(xiàn)在發(fā)現(xiàn)他是個(gè)挖礦病毒之后我們就開始處理它,看看他的進(jìn)程樹
生產(chǎn)機(jī)器被植入`kdevtmpfsi`挖礦程序處理
發(fā)現(xiàn)這個(gè)進(jìn)程是被植入在 redis 容器里面的,果斷給這個(gè)容器刪除,更換鏡像,設(shè)置強(qiáng)密碼,之后得以解決這個(gè)問題

總結(jié):
鏡像不能隨便使用,我們應(yīng)該盡量使用軟件官方制作的 docker 鏡像.

向AI問一下細(xì)節(jié)

生產(chǎn)機(jī)器被植入`kdevtmpfsi`挖礦程序處理

生產(chǎn)機(jī)器被植入kdevtmpfsi挖礦程序處理

事情經(jīng)過

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽

生產(chǎn)機(jī)器被植入`kdevtmpfsi`挖礦程序處理