最近在幾台測試伺服器上跑一些業務資料,但是過了幾天伺服器突然變的奇慢無比,敲個指令就像卡殼一樣,有時候甚至都連接配接不上,最開始我以為是網絡問題,就強行kill掉程序,重新跑一下程序,最後實在受不了,就上阿裡雲背景說重新開機下伺服器吧,結果看到CPU的占用率已經到達了100%。
看到這樣我以為是因為我跑了大量的資料導緻CPU飙升的,然後我就kill到了程序,并且重新開機了伺服器,啟動之後CPU正常,我以為就是我跑資料導緻的,此後我就沒用這台伺服器跑資料了,我就單純的以為這就算處理好了,沒想到等我過幾天部署測試包的時候發現,又是奇慢無比,看了下CPU占用率又是99.9%,事實證明我還是太年輕了。
終于忍無可忍,就深究下吧,先用linux指令(top)檢視下,到底是什麼占用了這麼多CPU資源,結果如下圖:
看到的瞬間第一感覺就是,這是啥玩意,這是誰部署的。問了下平時身旁的背鍋俠,好像也不是他弄的,看來這次這鍋是甩不了了,那就隻能...
What?中病毒了?
根據過往的經驗,這玩意不應該是點了網頁上的小姐姐才會發生的事情嗎?我這為什麼也就中毒了。
這東西是啥
既然已經中毒了,那就來看看這是什麼東西吧。
挖礦病毒,大家身在同一個工地都應該或多或少都聽過挖礦吧,要是挖到個币,就不用苦逼寫文章了,話說回來,要想挖币需要很強的計算資源,那麼也就需要衆多的伺服器來支撐,這裡面有些逼呢又不想投入太多,隻能通過一些惡毒的手段,将腳本植入的我們的伺服器,比如我們需要安裝一個Redis,那麼像我英文不太好的人,可能第一時間不是去官網,而是找度娘,如果你正好找的資源裡面被人植入了這種東西,那麼很不湊巧,你的伺服器可能要幫别人搞點東西了。
如何處理這種病毒
既然中了這種病毒,導緻我們的伺服器很卡,那麼肯定要将它殺死,可能沒怎麼接觸過Linux的同學,已經考慮重裝鏡像了。
其實大可不必。
首先呢我們找到此程序将其kill掉。
接下來删除kdevtmpfsi檔案,一般在tmp目錄下
還有一個檔案(kinsing)我們也要将其殺死删掉
這裡需要注意,我試了幾台伺服器kinsing檔案可能存在不同的位置,但是我們可以通過上面的方式看到檔案路徑,将其找到删除就好。
這個時候我們通過top檢視CPU的使用率,可以發現已經正常了
就在我以為萬事大吉的時候,現實又給了我沉痛的一擊,沒過幾分鐘CPU使用率又到了99.96%,我要崩潰了。
跟度娘經過深入交流之後,終于知道了問題所在。
檢視伺服器的定時任務,crontab -l,大概會看到如下的任務,沒有就不用管了,你可以将此ip查一下,一般都是國外的ip。
我們将這些定時任務删除即可,這個連結就是在我們kill到程序、删除檔案之後進行下載下傳,然後通過腳本再跑起來。
這也就是為什麼我明明殺死了病毒,沒過多久又出現了的原因。
到這裡我們已經完全處理到此病毒了,如果你用的是阿裡雲ECS,當遇到這種東西的時候,其實會短信通知你,隻不過當時太年輕沒怎麼在意,另外伺服器端口預設是22,自己最好改個端口,不然很容易被惡人攻擊。
現在伺服器敲起來賊爽,再也不卡頓了。