问题描述
- Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源;
- 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活;
- 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程;
- 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时间又会出现。
问题根源
- 服务器安装的redis镜像有问题,被植入kdevtmpfsi挖矿程序。
- redis未设置密码、或者密码过于简单
- 服务器被植入定时任务:下载病毒程序、并唤起,及进程存活监测
1.治本方法
- 更换redis镜像
- redis设置安全性高的密码
- 检查定时任务crontab -l,如有必要cat or vim 进入脚本,确认自家脚本没有串改
- 没有用到的端口,不要开放
- 可不做查出外部植入的定时程序,访问哪个ip下载病毒程序,将其拉黑
2.治标方法、稳定有效
- 编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh;
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi
- 新增定时任务;
*/1 * * * * /tmp/kill_kdevtmpfsi.sh - top -d 5观察,解决
btw:顺便做一下【治本方法的2.3.4.】。
基本这两病毒进程一唤起,没开挖,就被杀掉,不会占用CPU资源
虽然有效,但毕竟治标,不影响公司业务的时候还是用治本的方案
ok,done~
