CPU – 16 threads travados em 100%

tag-icon tag-icon centos cpu-usage mariadb redis centos8
CPU – 16 threads travados em 100%

Eu uso centos 8, mariadb 10.5, php 7.4

insira a descrição da imagem aqui

Como você pode ver, 16 threads estão 100% presos lá, isso é muito incomum, normalmente minha CPU está em 10-25% como constante.

aqui está uma imagem superior insira a descrição da imagem aqui

O que está acontecendo aqui ?

então parece que não consertei, ele continua voltando mesmo depois de desabilitar o redis

o que está acontecendo aqui ?

# crontab -l
0 8 * * * root /usr/bin/php /var/www/html/wp-cron.php and 

> # ls -la /tmp total 3888 drwxrwxrwt. 14 root  root     4096 Jan 28 21:51 . dr-xr-xr-x. 19 root  root     4096 Jan 20 16:35 .. drwxrwxrwt 
> 2 root  root     4096 Jan 20 11:55 .font-unix drwxr-xr-x   2 redis
> redis    4096 Jan 28 21:47 .ICEd-unix drwxrwxrwt   2 root  root    
> 4096 Jan 20 11:55 .ICE-unix
> -rwxr-xr-x   1 redis redis 3922304 Jan 28 21:47 kdevtmpfsi
> -rw-------   1 redis redis       0 Jan 28 18:00 linux.lock drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-chronyd.service-pfLMOx
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-httpd.service-ZsAdQu
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-memcached.service-xg2hBP
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-named.service-593azu
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-php-fpm.service-fM8F4O
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-postfix.service-Bf2p49
> drwxrwxrwt   2 root  root     4096 Jan 20 11:55 .Test-unix drwxrwxrwt 
> 2 root  root     4096 Jan 20 11:55 .X11-unix drwxrwxrwt   2 root  root
> 4096 Jan 20 11:55 .XIM-unix

kdevtmpfsi este é um minerador ou algo assim quem sabe usando um hack simples ele conseguiu entrar no servidor usando redis e colocar sua porcaria de mineração aqui ou quem sabe o que é.

Como posso impedir que isso aconteça novamente

Responder1

Esse processo é semelhante a um malware conhecido de mineração de criptografia. Você está usando o docker? você poderia enviar o conteúdo de crontab -l e ls -la /tmp

Responder2

mate o processo reddis e deixe-o reiniciar porque sua CPU está fixada em 100%. se puder, reinicie a máquina.

Responder3

Ele entrou via redis

Solução: Use uma senha forte para redis e use o modo protegido em

Como tirá-lo de lá? kill -9 pid e verifique /tmp, /var/tmp e exclua seus arquivos e substitua-os por um arquivo de mesmo nome

feito

informação relacionada