发现原因
这几天腾讯安全组的监控突然一直没反应,看不到cpu和内存使用情况
今天空下来决定找找原因,先把这个监控恢复
很简单,腾讯文档走起,云监控文档
安装,启动,如果有的话就重启,然后控制台刷新就可以了。
这个问题解决了,我刷新一看,完犊子,肯定成矿机了
出现的原因
这个吧,具体我也不太了解,根据我查的资料可能是以下几点
- 服务器安装的redis镜像有问题,被植入kdevtmpfsi挖矿程序。
- redis未设置密码、或者密码过于简单
- 服务器被植入定时任务:下载病毒程序、并唤起,及进程存活监测
解决方案
ssh窗口输入 top
查看cpu使用情况
按理来说,这个窗口出来后 输入 k 然后输入 pid 回车 就可以杀死进程了 ,但是毕竟这是病毒,不会那么轻松,这样肯定是不行的
来吧,治标治本的解决办法
- 编写脚本
vim /tmp/kill_kdevtmpfsi.sh
然后按 i
进入输入状态,将下边的东西粘贴进去
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi
赋予执行权限
chmod 755 /tmp/kill_kdevtmpfsi.sh
先手动执行一下 杀死再说./tmp/kill_kdevtmpfsi.sh
- 新增一个定时任务
首先:查看定时任务:crontab -l
然后:编辑一个新的定时任务:crontab -e
接着:输入i
进入编辑模式在最尾行插入
*/1 * * * * /tmp/kill_kdevtmpfsi.sh
最后提醒一下,最好换一个redis镜像
ok 完成