温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

生产机器被植入`kdevtmpfsi`挖矿程序处理

发布时间:2020-04-10 15:02:23 来源:网络 阅读:342 作者:铁血军人 栏目:系统运维

生产机器被植入kdevtmpfsi挖矿程序处理

事情经过

1, 手机钉钉收到报警信息,说阿里云的一台机器负载过高
2, 根据报警信息我们登录到这台机器上使用 uptime 命令查机器负载
生产机器被植入`kdevtmpfsi`挖矿程序处理![]
然后这台机器的 CPU 是 8 核的,可以判断出来 CPU 负载确实高了
3,这个时候通过命令 mpstat 查看到底是应为 CPU 还是磁盘造成的负载高
生产机器被植入`kdevtmpfsi`挖矿程序处理

我们可以看到 CPU 使用率基本上每核都达到了 100%,
4,紧接着我们使用命令 pidstat 来查看到底是哪个进程占用那么高的 CPU
生产机器被植入`kdevtmpfsi`挖矿程序处理
从这里面我们可以看出进程 PID 为 28245 的进程占用我们大量的 CPU,这个进程看着很陌生,不是我们自己的程序,于是就去百度下这个
生产机器被植入`kdevtmpfsi`挖矿程序处理
发现这个是一个挖矿病毒,然后心里想 mmp,
现在发现他是个挖矿病毒之后我们就开始处理它,看看他的进程树
生产机器被植入`kdevtmpfsi`挖矿程序处理
发现这个进程是被植入在 redis 容器里面的,果断给这个容器删除,更换镜像,设置强密码,之后得以解决这个问题

总结:
镜像不能随便使用,我们应该尽量使用软件官方制作的 docker 镜像.

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI