나는 centos 8, mariadb 10.5, php 7.4를 사용합니다.
보시다시피 16개의 스레드가 100% 고정되어 있습니다. 이는 일반적으로 내 CPU가 10-25% 일정하게 유지되는 매우 특이한 현상입니다.
여기 상단 이미지가 있습니다 여기에 이미지 설명을 입력하세요
여기서 무슨 일이 일어나고 있는 걸까요?
그래서 고치지 않은 것 같은데 Redis를 비활성화한 후에도 계속 다시 나타납니다.
여기서 무슨 일이 일어나고 있나요?
# crontab -l
0 8 * * * root /usr/bin/php /var/www/html/wp-cron.php and
> # ls -la /tmp total 3888 drwxrwxrwt. 14 root root 4096 Jan 28 21:51 . dr-xr-xr-x. 19 root root 4096 Jan 20 16:35 .. drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .font-unix drwxr-xr-x 2 redis
> redis 4096 Jan 28 21:47 .ICEd-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .ICE-unix
> -rwxr-xr-x 1 redis redis 3922304 Jan 28 21:47 kdevtmpfsi
> -rw------- 1 redis redis 0 Jan 28 18:00 linux.lock drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-chronyd.service-pfLMOx
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-httpd.service-ZsAdQu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-memcached.service-xg2hBP
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-named.service-593azu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-php-fpm.service-fM8F4O
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-postfix.service-Bf2p49
> drwxrwxrwt 2 root root 4096 Jan 20 11:55 .Test-unix drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .X11-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .XIM-unix
kdevtmpfsi 이것은 광부이거나 간단한 해킹을 사용하여 Redis를 사용하여 서버에 들어가서 여기에 채굴 쓰레기를 넣었거나 그것이 무엇인지 아는 사람입니다.
이런 일이 다시는 발생하지 않게 하려면 어떻게 해야 할까요?
답변1
해당 프로세스는 알려진 암호화폐 채굴 악성코드와 유사합니다. docker를 사용하고 있습니까? crontab -l 내용과 ls -la /tmp 내용을 보내주실 수 있나요?
답변2
Reddis 프로세스를 종료하고 CPU가 100%로 고정되어 있으므로 다시 시작하도록 하세요. 가능하다면 컴퓨터를 다시 시작하세요.
답변3
그는 redis를 통해 들어왔습니다
해결 방법: Redis에 강력한 비밀번호를 사용하고 보호 모드를 사용하세요.
그를 어떻게 내보내나요? kill -9 pid를 실행하고 /tmp, /var/tmp를 확인하고 해당 파일을 삭제하고 동일한 이름의 파일로 바꿉니다.
완료