我使用 centos 8、mariadb 10.5、php 7.4
正如你所看到的,16 个线程 100% 卡在那里,这非常不寻常,通常我的 CPU 一直保持在 10-25%。
这是顶部图片 在此处输入图片描述
这里发生了什么 ?
看起来我没有修复它,即使在我禁用 redis 之后它仍然会回来
这里发生了什么 ?
# crontab -l
0 8 * * * root /usr/bin/php /var/www/html/wp-cron.php and
> # ls -la /tmp total 3888 drwxrwxrwt. 14 root root 4096 Jan 28 21:51 . dr-xr-xr-x. 19 root root 4096 Jan 20 16:35 .. drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .font-unix drwxr-xr-x 2 redis
> redis 4096 Jan 28 21:47 .ICEd-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .ICE-unix
> -rwxr-xr-x 1 redis redis 3922304 Jan 28 21:47 kdevtmpfsi
> -rw------- 1 redis redis 0 Jan 28 18:00 linux.lock drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-chronyd.service-pfLMOx
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-httpd.service-ZsAdQu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-memcached.service-xg2hBP
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-named.service-593azu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-php-fpm.service-fM8F4O
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-postfix.service-Bf2p49
> drwxrwxrwt 2 root root 4096 Jan 20 11:55 .Test-unix drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .X11-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .XIM-unix
kdevtmpfsi 这是矿工或某种东西,谁知道使用简单的黑客他设法使用 redis 进入服务器并将他的采矿垃圾放在这里或谁知道它是什么。
我如何防止这种情况再次发生
答案1
该过程类似于已知的加密挖掘恶意软件,你使用docker吗?你能发送crontab -l和ls -la / tmp的内容吗?
答案2
终止 reddis 进程并让其重新启动,因为它已将你的 CPU 固定在 100%。如果可以,请重新启动机器。
答案3
他通过 redis 进入
解决方案:对 redis 使用强密码,并在
如何把他弄出来? kill -9 pid 并检查 /tmp、/var/tmp 并删除他的文件并用同名文件替换它们
完毕