我使用centos 8,mariadb 10.5,php 7.4
正如你所看到的,16 個線程處於 100% 的卡住狀態,這非常不尋常,通常我的 cpu 保持在 10-25% 不變。
這是頂部圖片 在此輸入影像描述
這裡發生了什麼事 ?
所以看起來我沒有修復它,即使在我禁用 redis 之後它仍然會回來
這裡發生了什麼事 ?
# crontab -l
0 8 * * * root /usr/bin/php /var/www/html/wp-cron.php and
> # ls -la /tmp total 3888 drwxrwxrwt. 14 root root 4096 Jan 28 21:51 . dr-xr-xr-x. 19 root root 4096 Jan 20 16:35 .. drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .font-unix drwxr-xr-x 2 redis
> redis 4096 Jan 28 21:47 .ICEd-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .ICE-unix
> -rwxr-xr-x 1 redis redis 3922304 Jan 28 21:47 kdevtmpfsi
> -rw------- 1 redis redis 0 Jan 28 18:00 linux.lock drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-chronyd.service-pfLMOx
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-httpd.service-ZsAdQu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-memcached.service-xg2hBP
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-named.service-593azu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-php-fpm.service-fM8F4O
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-postfix.service-Bf2p49
> drwxrwxrwt 2 root root 4096 Jan 20 11:55 .Test-unix drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .X11-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .XIM-unix
kdevtmpfsi 這是礦工或知道使用簡單黑客的人他設法使用 redis 進入伺服器並將他的採礦垃圾放在這裡或誰知道它是什麼。
我如何阻止這種情況再次發生
答案1
該過程類似於已知的加密挖掘惡意軟體,您使用的是 docker 嗎?您可以寄 crontab -l 和 ls -la /tmp 的內容嗎
答案2
殺死 reddis 進程並讓它重新啟動,因為它使您的 CPU 佔用率為 100%。如果可以,請重新啟動機器。
答案3
他是透過redis進入的
解決方案:為redis使用強密碼並使用protectedmode
怎麼把他弄出來? Kill -9 pid 並檢查 /tmp、/var/tmp 並刪除他的檔案並用同名檔案取代它們
完畢