生產(chǎn)機(jī)器被植入kdevtmpfsi挖礦程序處理

事情經(jīng)過

1, 手機(jī)釘釘收到報(bào)警信息,說阿里云的一臺機(jī)器負(fù)載過高
2, 根據(jù)報(bào)警信息我們登錄到這臺機(jī)器上使用 uptime 命令查機(jī)器負(fù)載
![]
然后這臺機(jī)器的 CPU 是 8 核的,可以判斷出來 CPU 負(fù)載確實(shí)高了
3,這個時候通過命令 mpstat 查看到底是應(yīng)為 CPU 還是磁盤造成的負(fù)載高

成都創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站制作、網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的徽州網(wǎng)站設(shè)計(jì)、移動媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

我們可以看到 CPU 使用率基本上每核都達(dá)到了 100%,
4,緊接著我們使用命令 pidstat 來查看到底是哪個進(jìn)程占用那么高的 CPU

從這里面我們可以看出進(jìn)程 PID 為 28245 的進(jìn)程占用我們大量的 CPU,這個進(jìn)程看著很陌生,不是我們自己的程序,于是就去百度下這個

發(fā)現(xiàn)這個是一個挖礦病毒,然后心里想 mmp,
現(xiàn)在發(fā)現(xiàn)他是個挖礦病毒之后我們就開始處理它,看看他的進(jìn)程樹

發(fā)現(xiàn)這個進(jìn)程是被植入在 redis 容器里面的,果斷給這個容器刪除,更換鏡像,設(shè)置強(qiáng)密碼,之后得以解決這個問題

總結(jié):
鏡像不能隨便使用,我們應(yīng)該盡量使用軟件官方制作的 docker 鏡像.

標(biāo)題名稱：生產(chǎn)機(jī)器被植入`kdevtmpfsi`挖礦程序處理
文章鏈接：http://sd-ha.com/article16/gcjgdg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、Google、動態(tài)網(wǎng)站、微信小程序、App開發(fā)、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)