生產機器被植入kdevtmpfsi
挖礦程序處理
事情經過
1, 手機釘釘收到報警信息,說阿里雲的一臺機器負載過高
2, 根據報警信息我們登錄到這臺機器上使用 uptime 命令查機器負載
![]
然後這臺機器的 CPU 是 8 核的,可以判斷出來 CPU 負載確實高了
3,這個時候通過命令 mpstat 查看到底是應爲 CPU 還是磁盤造成的負載高
我們可以看到 CPU 使用率基本上每核都達到了 100%,
4,緊接着我們使用命令 pidstat 來查看到底是哪個進程佔用那麼高的 CPU
從這裏面我們可以看出進程 PID 爲 28245 的進程佔用我們大量的 CPU,這個進程看着很陌生,不是我們自己的程序,於是就去百度下這個
發現這個是一個挖礦病毒,然後心裏想 mmp,
現在發現他是個挖礦病毒之後我們就開始處理它,看看他的進程樹
發現這個進程是被植入在 redis 容器裏面的,果斷給這個容器刪除,更換鏡像,設置強密碼,之後得以解決這個問題
總結:
鏡像不能隨便使用,我們應該儘量使用軟件官方製作的 docker 鏡像.