闲来登录了一下腾讯云控制台,发现资源监控面板服务器的cpu利用率一直100%以上,甚至达到了130%

反常必有妖,毕竟我服务器除了挂了个docker几乎是没开其他应用的,一定有异常程序在作怪。

进入服务器,输入

top -c

发现有一个程序就占用100%以上的cpu,后面对应的command是:  /tmp/kdevtmpfsi

百度去查了一下,发现这是一个挖矿程序,好家伙,原来服务器两个月前就被置入挖矿了。

那时候我做了什么?无非是拉取了别人的几个docker镜像,难不成docker镜像里投毒?

第一反应,在官方 portainer 面板里停用了除portainer以外的全部镜像

然后开始查杀作怪的几个挖矿程序。

别人的方法

这里用到了以下命令:

crontab -etop -c
ls -ail /proc/pidps -ef|grep kinsing
ps -ef|grep kdevtmpfsi
kill -9 进程id
cd /tmp
ls
reboot
systemctl status pid

命令不是严格按先后来,原理是查到挖矿主进程的进程id和它的守护进程的id,然后kill -9 杀掉。杀完过后看一下自己目录/tmp下还有没有挖矿相关的执行文件

并且crontab -e检查一下自启动,看看有没有被人丢自启动挖矿。我这里看了里面只有一个 这样的:

flock -xn /tmp/stargate.lock -c '/usr/local/qcloud/stargate/admin/start.sh > /dev/null 2>&1 &'

这东西好像是腾讯云服务器控制台提供的云资源监控 叫做云镜的东西,都看到标志目录 qcloud/YunJing 了。不用管,我这里没有挖矿的自启程序

如果有的话就删除。最后reboot重启服务器。

暂时重启完了看到cpu利用率低于2%了,正常了

不知道过一段时间挖矿程序会不会回来。反正我不常用的docker容器准备一直停用先

2021年6月4日补充:

公司另一台服务器也中招了,经过运维大佬的排查,发现是被人用postgres用户登录进来投毒了。难道说postgres近期有什么漏洞。

然后我到自己这台中毒的宿主机上执行了以下命令:

find / -name kdevtmpfsi

发现查找结果如下:

/var/lib/docker/overlay2/9a8bc2f1f6d5577d83f8dc185e3c4660eb425dba252d1329eb3654cf1a2467f2/diff/tmp/kdevtmpfsi

这很明显,挖矿病毒程序是来自于某个docker容器。但是这里显示的目录并不是docker容器的id,还需要接着排查

根据csdn某博主的教程执行了以下命令,但是没得卵用。

docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Id}}, {{.Name}}, {{.GraphDriver.Data.WorkDir}}' | grep "9a8bc2f1f6d5577d83f8dc185e3c4660eb425dba252d1329eb3654cf1a2467f2"

后面自己思考了一下,上次停用某些不常用的容器后,cpu并没有异常过,那么说明,一定在上次停用的某些容器里有挖矿程序。

自己思考难道是因为postgres的容器?从几个停用的容器,挨个启用,然后进入容器内部,cd到/tmp目录看看,最后发现是它无疑

自己也没得更好的办法,那么删除整个tmp目录吧

rm -rf tmp/
find / -name "kinsing*" | xargs rm -rf

记录一次linux服务器被挖矿的解决相关推荐

  1. Linux服务器被挖矿及解决办法

    记录一次Linux服务器被挖矿的经历(chattr文件权限被改)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除.上网查找发现,这几个文件的 ...

  2. linux服务器被挖矿的解决办法

    一.前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源,尝试使用kill命令终止该进程后发现几秒钟进程又重启了,资 ...

  3. Linux服务器.Xr1挖矿病毒解决

    1. 发现问题 开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程 2. 问题定位 2.1 通过top命令查看, 发现 xr文件, C ...

  4. python自定义包或模块在Linux服务器导入错误的解决办法

    python自定义包或模块在Linux服务器导入错误的解决办法 在本地机器上跑python代码,自己定义的文件进行导包运行是没有问题,但是放到linux服务器上的时候就会提示 ImportError: ...

  5. linux服务器time wait,Linux服务器TIME_WAIT进程的解决与原因

    linux服务器上tcp有大量time_wait状态的解决方法和原因解释 毫无疑问,TCP中有关网络编程最不容易理解的是它的TIME_WAIT状态,TIME_WAIT状态存在于主动关闭socket连接 ...

  6. 【便签纸】记录一次Linux服务器上通过sftp上传文件时的错误

    背景:在Linux服务器上,通过sftp上传文件到远程服务器. 首先,需要登录远程服务器,格式是: sftp [服务器名]@[服务器地址] 然后,需要输入服务器密码: [服务器名]@[服务器地址]'s ...

  7. linux网站目录大小写,Linux服务器url区分大小写如何解决

    使用Linux服务器的朋友在做网站过程中,可能会发现网站url要区分大小写,url使用大写的时候,使用小写字母不能访问,反之亦然.这样很不方便.那么如何解决linux服务器对url大小定敏感问题呢? ...

  8. 阿里云服务器被挖矿怎么解决

    2019独角兽企业重金招聘Python工程师标准>>> 春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告.该安全报告主要是以我们去年的整一年的安全数据为基 ...

  9. linux服务器无法解析域名解决办法,Linux服务器内部无法解析域名

    Linux服务器内部无法解析域名 问题现象 Linux 服务器内部无法正常解析域名. 问题原因 可能的原因包括: DNS 设置问题 防火墙策略问题 NSCD 服务问题 处理办法 可以依次进行如下检查: ...

最新文章

  1. jdk历史各个版本下载
  2. 概率假设密度滤波 matlab,高斯混合概率假设密度滤波器
  3. 云软件——艺术字符设计!【推荐】
  4. AFN框架和SDWebImage框架的上手体验
  5. 无法开启计算机,Win7下鼠标右键无法开启计算机属性怎么办?
  6. LintCode 386. 最多有k个不同字符的最长子字符串(双指针)
  7. Linux环境 安装 Redis-6.2.6 配置运行_01
  8. P、NP、NPC、NP-Hard等问题总结
  9. 图像编码中的小白问题sps ,pps ,nalu ,frame ,silce ect....
  10. 项目应用EasyUI_Tab控件全部关闭
  11. 在线等差数列项生成器
  12. mysql 主从 索引_Mysql繁忙主从库在线修改表结构与添加索引问题
  13. 开关电源电路图及原理12v分析-详细版
  14. DRILLNET 2.0------第九章 套管设计模块
  15. lol8月7号服务器维护,LOL8月7日更新了什么内容 8.15新版本更新维护公告
  16. 树莓派开发系列教程5——树莓派常用软件及服务(vi、远程桌面、ssh、samba、u盘)
  17. JavaScript数据类型、引用类型、操作符、语句
  18. Java开发者环境搭建
  19. 推荐一个学习SQL的好网站
  20. spring中的JdbcTemplate的使用方法

热门文章

  1. 王老吉新零售借数字化运营加快营销创新步伐
  2. 初识Linux:第五篇
  3. linux下面C 利用openssl的AES库加密,解密
  4. python-删除列表中的重复值
  5. R语言图解“等额本金与等额本息”
  6. 天气学诊断分析I 实习报告(实习四)
  7. Karaf教程第2部分使用Configuration Admin服务
  8. OpenCV05:图片色彩反转及马赛克效果
  9. oracle循环执行存储过程
  10. 社区电子商务的商业模式