什么?CPU100%,云服务器被挖矿了!

数据库NoSQL数据库关系型数据库

01

前言

前两天的凌晨,某云服务器运营商突然发送短信说我服务器资源消耗过高,可能存在中高风险,我随即使用FinalShell连接,但是一直连不上,报连接失败,于是我就通过云服务器管理平台进行本地登录,进入了Linux系统,使用top命令查看一下,好家伙!直接给我惊到了,发现一个kdevtmpfsi的进程占用了192%的CPU,在网上一搜才知道,这是来自国外的一个挖矿病毒,那赶紧把进程杀死吧,于是使用kill -9 pid 命令强制杀死这个病毒进程,结果还没到1分钟,kdevtmpfsi这个进程又冒出来了,搞了好久没有搞定,因为是凌晨1-2点了,第二天还要上班,于是一气之下把服务器停机了,你不是喜欢挖矿嘛,我把服务器一停,看你怎么挖!

picture.image

02

解决

第二天一早,我就急匆匆打开电脑解决这个问题,经过网上查询,终于找到了合理的解决方式。

停掉kdevtmpfsi进程以及守护进程

  
top

使用top命令,查看kdevtmpfsi进程前面的pid(因为当时解决的比较急,就没有截图)

  
systemctl status pid

使用systemctl status pid 命令查询该进程下的守护进程。应该会有一个叫kinsing的守护进程。

  
kill -9 pid pid

使用kill -9 命令将这两个进程都杀死

经过上面这些操作,这只是暂时性的制止,想要彻底消除干净还要经过下面的步骤:

删除linux的定时任务

  
crontab -l 

首先查看linux系统中的定时任务,通过上面的命令,如果出现有带有ip的定时任务,可以先去网上查询一下这个ip的来源,一般是来自外国的,这个时候就确认这个定时任务就是挖矿病毒的来源。

  
crontab -e

使用-e来编辑定时任务的文件,使用i进行编辑,将来自国外的那个定时任务给删除掉,然后esc,:wq保存退出。

寻找病毒相关文件进行删除

使用find命令查询出所有文件的目录地址

  
 find / -name kdevtmpfsi  
 find / -name kinsing

我的目录路径为tmp/kdevtmpfsi、etc/data/kinsing,根据find结果来排查。

防范挖矿病毒

通过网上搜索后,得知这个病毒是利用Redis配置不当渗透进来的,所以以后不要随意的将Redis端口进行开放,如果必要的话,提升Redis的密码强度。

可以使用Fail2ban工具,这是一个IP屏蔽工具,可以通过设置参数来控制用户访问服务器的重试次数,这样可以防止不法用户使用暴力破解服务器的密码,如果重试次数大于这个阈值,就会把这个人的ip放入黑名单。

OK!感谢小伙伴们观看我的文章,喜欢我的这个教训能让你们有所收获,点赞支持一下呦!

0
0
0
0
关于作者
关于作者

文章

0

获赞

0

收藏

0

相关资源
字节跳动 GPU Scale-up 互联技术白皮书
近日,字节跳动正式发布基于以太网极致优化的 GPU Scale-up 互联技术白皮书,推出 EthLink 的创新网络方案,旨在为 AI 集群提供低延迟、高带宽的高速互联传输,满足 AI 应用对 GPU 之间高效通信的需求。这一举措标志着字节跳动在 AI 基础设施领域的突破,有望推动通用人工智能(AGI)和大语言模型(LLM)的进一步发展。
相关产品
评论
未登录
看完啦,登录分享一下感受吧~
暂无评论