我使用 centos 8、mariadb 10.5、php 7.4
正如你所看到的,16 个线程 100% 卡在那里,这非常不寻常,通常我的 cpu 保持在 10-25% 不变。
这是顶部图像 在此处输入图像描述
这里发生了什么 ?
所以看起来我没有修复它即使在我禁用 redis 后它也会继续出现
这里发生了什么 ?
# crontab -l
0 8 * * * root /usr/bin/php /var/www/html/wp-cron.php and
> # ls -la /tmp total 3888 drwxrwxrwt. 14 root root 4096 Jan 28 21:51 . dr-xr-xr-x. 19 root root 4096 Jan 20 16:35 .. drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .font-unix drwxr-xr-x 2 redis
> redis 4096 Jan 28 21:47 .ICEd-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .ICE-unix
> -rwxr-xr-x 1 redis redis 3922304 Jan 28 21:47 kdevtmpfsi
> -rw------- 1 redis redis 0 Jan 28 18:00 linux.lock drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-chronyd.service-pfLMOx
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-httpd.service-ZsAdQu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-memcached.service-xg2hBP
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-named.service-593azu
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-php-fpm.service-fM8F4O
> drwx------ 3 root root 4096 Jan 28 20:49
> systemd-private-ccaba531523740f8a142a533d87ffd1b-postfix.service-Bf2p49
> drwxrwxrwt 2 root root 4096 Jan 20 11:55 .Test-unix drwxrwxrwt
> 2 root root 4096 Jan 20 11:55 .X11-unix drwxrwxrwt 2 root root
> 4096 Jan 20 11:55 .XIM-unix
kdevtmpfsi 这是矿工或知道使用简单黑客的东西,他设法使用 redis 进入服务器并将他的采矿废话放在这里,或者谁知道它是什么。
我如何阻止这种情况再次发生
该过程类似于已知的加密挖掘恶意软件,您使用的是 docker 吗?你能发送 crontab -l 和 ls -la /tmp 的内容吗
杀死 reddis 进程并让它重新启动,因为它让你的 CPU 固定在 100%。如果可以,请重新启动机器。
他是通过redis进来的
解决方案:对redis使用强密码并在上使用protectedmode
怎么把他弄出来?kill -9 pid 并检查 /tmp, /var/tmp 并删除他的文件并用同名文件替换它们
完毕