Yo uso centos 8, mariadb 10.5, php 7.4
ingrese la descripción de la imagen aquí
Como puede ver, 16 subprocesos están atascados al 100%, esto es muy inusual, normalmente mi CPU está al 10-25% como constante.
aquí hay una imagen superior ingrese la descripción de la imagen aquí
Que esta pasando aqui ?
Parece que no lo arreglé, sigue apareciendo incluso después de desactivar Redis.
que esta pasando aqui ?
# crontab -l
0 8 * * * root /usr/bin/php /var/www/html/wp-cron.php and
> # ls -la /tmp total 3888 drwxrwxrwt. 14 root root 4096 Jan 28 21:51 . dr-xr-xr-x. 19 root root 4096 Jan 20 16:35 .. drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .font-unix drwxr-xr-x 2 redis
> redis 4096 Jan 28 21:47 .ICEd-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .ICE-unix
> -rwxr-xr-x 1 redis redis 3922304 Jan 28 21:47 kdevtmpfsi
> -rw------- 1 redis redis 0 Jan 28 18:00 linux.lock drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-chronyd.service-pfLMOx
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-httpd.service-ZsAdQu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-memcached.service-xg2hBP
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-named.service-593azu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-php-fpm.service-fM8F4O
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-postfix.service-Bf2p49
> drwxrwxrwt 2 root root 4096 Jan 20 11:55 .Test-unix drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .X11-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .XIM-unix
kdevtmpfsi este es un minero o algo así, quién sabe usando un simple truco que logró ingresar al servidor usando redis y puso su basura minera aquí o quién sabe qué es.
¿Cómo puedo evitar que esto vuelva a suceder?
Respuesta1
Ese proceso es similar a un conocido malware de minería criptográfica, ¿está utilizando Docker? ¿Podrías enviar el contenido de crontab -l y un ls -la /tmp?
Respuesta2
Elimine el proceso de Reddis y déjelo reiniciar porque tiene su CPU fijada al 100%. Si puede, reinicie la máquina.
Respuesta3
Entró vía redis
Solución: use una contraseña segura para redis y use el modo protegido en
¿Cómo sacarlo? elimine -9 pid y verifique /tmp, /var/tmp y elimine sus archivos y reemplácelos con un archivo del mismo nombre
hecho