Centos 8、MariaDB 10.5、PHP 7.4を使用しています
ご覧のとおり、16 個のスレッドが 100% で停止しています。これは非常に異常で、通常、CPU は一定して 10% ~ 25% です。
これがトップ画像です ここに画像の説明を入力してください
ここで何が起こっているのでしょうか?
修正されていないようです。Redisを無効にした後でも再発し続けます。
ここで何が起こっているのですか?
# crontab -l
0 8 * * * root /usr/bin/php /var/www/html/wp-cron.php and
> # ls -la /tmp total 3888 drwxrwxrwt. 14 root root 4096 Jan 28 21:51 . dr-xr-xr-x. 19 root root 4096 Jan 20 16:35 .. drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .font-unix drwxr-xr-x 2 redis
> redis 4096 Jan 28 21:47 .ICEd-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .ICE-unix
> -rwxr-xr-x 1 redis redis 3922304 Jan 28 21:47 kdevtmpfsi
> -rw------- 1 redis redis 0 Jan 28 18:00 linux.lock drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-chronyd.service-pfLMOx
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-httpd.service-ZsAdQu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-memcached.service-xg2hBP
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-named.service-593azu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-php-fpm.service-fM8F4O
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-postfix.service-Bf2p49
> drwxrwxrwt 2 root root 4096 Jan 20 11:55 .Test-unix drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .X11-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .XIM-unix
kdevtmpfsi これはマイナーか何かで、単純なハックを使って redis を使用してサーバーに侵入し、マイニングのゴミをここに置いたか、それが何であるかを知っている人です。
どうすれば二度とこのようなことが起こらないようにできるか
答え1
このプロセスは既知の暗号マイニングマルウェアに似ています。dockerを使用していますか?crontab -lとls -la /tmpの内容を送っていただけますか?
答え2
CPU 使用率が 100% に固定されているため、reddis プロセスを終了して再起動します。可能であれば、マシンを再起動します。
答え3
彼はRedis経由で侵入した
解決策: Redisに強力なパスワードを使用し、protectedmodeを使用します
どうやって彼を連れ出すか?kill -9 pidを実行し、/tmp、/var/tmpをチェックして彼のファイルを削除し、同じ名前のファイルに置き換えます。
終わり