生產(chǎn)機(jī)器被植入kdevtmpfsi挖礦程序處理

事情經(jīng)過

1, 手機(jī)釘釘收到報(bào)警信息,說阿里云的一臺(tái)機(jī)器負(fù)載過高
2, 根據(jù)報(bào)警信息我們登錄到這臺(tái)機(jī)器上使用 uptime 命令查機(jī)器負(fù)載
![]
然后這臺(tái)機(jī)器的 CPU 是 8 核的,可以判斷出來 CPU 負(fù)載確實(shí)高了
3,這個(gè)時(shí)候通過命令 mpstat 查看到底是應(yīng)為 CPU 還是磁盤造成的負(fù)載高

專注于為中小企業(yè)提供成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)紫金免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了成百上千企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

我們可以看到 CPU 使用率基本上每核都達(dá)到了 100%,
4,緊接著我們使用命令 pidstat 來查看到底是哪個(gè)進(jìn)程占用那么高的 CPU

從這里面我們可以看出進(jìn)程 PID 為 28245 的進(jìn)程占用我們大量的 CPU,這個(gè)進(jìn)程看著很陌生,不是我們自己的程序,于是就去百度下這個(gè)

發(fā)現(xiàn)這個(gè)是一個(gè)挖礦病毒,然后心里想 mmp,
現(xiàn)在發(fā)現(xiàn)他是個(gè)挖礦病毒之后我們就開始處理它,看看他的進(jìn)程樹

發(fā)現(xiàn)這個(gè)進(jìn)程是被植入在 redis 容器里面的,果斷給這個(gè)容器刪除,更換鏡像,設(shè)置強(qiáng)密碼,之后得以解決這個(gè)問題

總結(jié):
鏡像不能隨便使用,我們應(yīng)該盡量使用軟件官方制作的 docker 鏡像.

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

名稱欄目：生產(chǎn)機(jī)器被植入`kdevtmpfsi`挖礦程序處理-創(chuàng)新互聯(lián)
URL標(biāo)題：http://weahome.cn/article/dipecd.html