公司在阿里云上申请了服务器,没部署几个程序,而且这几个程序都是内存型的,但是通过TOP看资源,CPU随时都是高负荷状态,后来去百度找了一圈,终于觅得良方
错误信息
先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。告警图示:
使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi,如下图
解决方式
一般出现kdevtmpfsi病毒都会伴有定时任务,就会出现我上面说的处理一次后,又会继续出现,反反复复处理不干净
停掉kdevtmpfsi的程序
ps aux
找到kdevtmpfsi的进程
删除掉与kdevtmpfsi相关的进程
kill -9 20267
kill -9 20367
删除Linux下的异常定时任务
crontab -l 查看定时任务
crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除(慎用,会将正常的定时任务也清除掉)crontab -e 进去删除病毒的定时任务(推荐)
结束kdevtmpfsi进程及端口占用
找到kdevtmpfsi端口 我这里是28244 一中第三张图可以看到。不要直接杀掉,因为有守护线程还会重启
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
kill -9 28244
kill -9 28829
删除掉kdevtmpfsi的相关文件
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing
最后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing
预防病毒
最根本的原因是自己服务器上的redis将保护模式关掉,也没有设置密码,导致病毒利用6379端口进行攻击。
大家可以参考阿里云的Redis服务安全加固 阿里Redis服务安全加固
来源:oschina
链接:https://my.oschina.net/u/3049601/blog/4329653