CPU – 16 Threads stecken bei 100 % fest

tag-icon tag-icon centos cpu-usage mariadb redis centos8
CPU – 16 Threads stecken bei 100 % fest

Ich verwende CentOS 8, MariaDB 10.5, PHP 7.4

Bildbeschreibung hier eingeben

Wie Sie sehen, stecken 16 Threads bei 100 % fest. Das ist sehr ungewöhnlich. Normalerweise liegt meine CPU konstant bei 10–25 %.

hier ist ein Top-Bild Bildbeschreibung hier eingeben

Was geht hier vor sich ?

also sieht es so aus, als hätte ich es nicht behoben, es kommt immer wieder, auch nachdem ich Redis deaktiviere

Was geht hier vor sich ?

# crontab -l
0 8 * * * root /usr/bin/php /var/www/html/wp-cron.php and 

> # ls -la /tmp total 3888 drwxrwxrwt. 14 root  root     4096 Jan 28 21:51 . dr-xr-xr-x. 19 root  root     4096 Jan 20 16:35 .. drwxrwxrwt 
> 2 root  root     4096 Jan 20 11:55 .font-unix drwxr-xr-x   2 redis
> redis    4096 Jan 28 21:47 .ICEd-unix drwxrwxrwt   2 root  root    
> 4096 Jan 20 11:55 .ICE-unix
> -rwxr-xr-x   1 redis redis 3922304 Jan 28 21:47 kdevtmpfsi
> -rw-------   1 redis redis       0 Jan 28 18:00 linux.lock drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-chronyd.service-pfLMOx
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-httpd.service-ZsAdQu
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-memcached.service-xg2hBP
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-named.service-593azu
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-php-fpm.service-fM8F4O
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-postfix.service-Bf2p49
> drwxrwxrwt   2 root  root     4096 Jan 20 11:55 .Test-unix drwxrwxrwt 
> 2 root  root     4096 Jan 20 11:55 .X11-unix drwxrwxrwt   2 root  root
> 4096 Jan 20 11:55 .XIM-unix

kdevtmpfsi, das ist ein Miner oder so etwas, wer weiß, er hat es mithilfe eines einfachen Hacks geschafft, mit Redis auf den Server zu kommen und seinen Mining-Mist hier abzulegen, oder wer weiß, was das ist.

Wie verhindere ich, dass das jemals wieder passiert?

Antwort1

Dieser Prozess ähnelt einer bekannten Krypto-Mining-Malware. Verwenden Sie Docker? Könnten Sie den Inhalt von crontab -l und einem ls -la /tmp senden?

Antwort2

beenden Sie den Reddit-Prozess und lassen Sie ihn neu starten, da Ihre CPU dadurch zu 100 % ausgelastet ist. Starten Sie den Computer nach Möglichkeit neu.

Antwort3

Er ist über Redis reingekommen

Lösung: Verwenden Sie ein sicheres Passwort für Redis und verwenden Sie den geschützten Modus auf

Wie bekommt man ihn raus? kill -9 pid und überprüfe /tmp, /var/tmp und lösche seine Dateien und ersetze sie durch eine Datei mit gleichem Namen

Erledigt

verwandte Informationen