ЦП - 16 потоков зависли на 100%

tag-icon tag-icon centos cpu-usage mariadb redis centos8
ЦП - 16 потоков зависли на 100%

Я использую CentOS 8, MariaDB 10.5, PHP 7.4.

введите описание изображения здесь

Как вы можете видеть, 16 потоков загружены на 100%, что очень необычно, обычно мой процессор загружен на 10-25% постоянно.

вот верхнее изображение введите описание изображения здесь

Что здесь происходит ?

похоже, я не исправил это, но оно продолжает появляться даже после того, как я отключил Redis

Что здесь происходит ?

# crontab -l
0 8 * * * root /usr/bin/php /var/www/html/wp-cron.php and 

> # ls -la /tmp total 3888 drwxrwxrwt. 14 root  root     4096 Jan 28 21:51 . dr-xr-xr-x. 19 root  root     4096 Jan 20 16:35 .. drwxrwxrwt 
> 2 root  root     4096 Jan 20 11:55 .font-unix drwxr-xr-x   2 redis
> redis    4096 Jan 28 21:47 .ICEd-unix drwxrwxrwt   2 root  root    
> 4096 Jan 20 11:55 .ICE-unix
> -rwxr-xr-x   1 redis redis 3922304 Jan 28 21:47 kdevtmpfsi
> -rw-------   1 redis redis       0 Jan 28 18:00 linux.lock drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-chronyd.service-pfLMOx
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-httpd.service-ZsAdQu
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-memcached.service-xg2hBP
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-named.service-593azu
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-php-fpm.service-fM8F4O
> drwx------   3 root  root     4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-postfix.service-Bf2p49
> drwxrwxrwt   2 root  root     4096 Jan 20 11:55 .Test-unix drwxrwxrwt 
> 2 root  root     4096 Jan 20 11:55 .X11-unix drwxrwxrwt   2 root  root
> 4096 Jan 20 11:55 .XIM-unix

kdevtmpfsi это майнер или что-то в этом роде, кто знает, с помощью простого взлома ему удалось проникнуть на сервер с помощью Redis и разместить здесь свой хлам для майнинга или кто знает, что это такое.

Как мне предотвратить повторение этого?

решение1

Этот процесс похож на известную вредоносную программу для майнинга криптовалют. Вы используете docker? Не могли бы вы отправить содержимое crontab -l и ls -la /tmp?

решение2

завершите процесс reddis и дайте ему перезапуститься, поскольку он загружает ваш процессор на 100%. Если можете, перезагрузите машину.

решение3

Он вошел через редис

Решение: используйте надежный пароль для Redis и используйте защищенный режим.

Как его вытащить? Убейте -9 pid и проверьте /tmp, /var/tmp, удалите его файлы и замените их файлом с таким же именем.

сделанный

Связанный контент