前言

互聯(lián)網(wǎng)存在很多的漏洞，如果我們使用不當(dāng)，就會別被別人利用或者是盜取信息。之前在阿里云買的服務(wù)器，自己配置了nginx，mysql，redis等服務(wù)。由于在某些時候，本地程序開發(fā)中需要使用這些服務(wù)，便開放了相關(guān)的接口包括redis 的6379端口。通過查閱資料，病毒經(jīng)常利用redis的6379端口被注入。

中毒具體描述

某一天，我寫完本地程序，準(zhǔn)備部署到云服務(wù)器，然而我的xshell始終是連接不上服務(wù)器，或者是連接上反應(yīng)非常慢，我懷疑阿里云對我的服務(wù)器動了什么了（實(shí)在是對不住，畢竟我也不知道還有這種事情），然后通過阿里云控制臺，發(fā)現(xiàn)出現(xiàn)了CPU占用非常高，基本上就100%了，并且內(nèi)存的占用也是非常高。通過登錄服務(wù)器，具體查看，然后使用命令查看，確實(shí)正如控制臺的監(jiān)控系統(tǒng)所展示的那樣。

命令以及過程

查看cpu占用

top

查看異常進(jìn)程 kdevtmpfsi

ps -ef | grep kdevtmpfsi

處理異常定時任務(wù)

# 查看定時任務(wù)，找出異常任務(wù)
crontab -l# 刪除一次任務(wù)
crontab -e

查看和其相關(guān)聯(lián)的進(jìn)程

systemctl status pid

pid 為kdevtmpfsi的進(jìn)程號

殺掉進(jìn)程(包括其守護(hù)進(jìn)程，由上一步可以看出)

先殺守護(hù)進(jìn)程，后殺挖礦進(jìn)程

kill -9 pid

刪除文件

刪除守護(hù)進(jìn)程文件

# 查找守護(hù)進(jìn)程相關(guān)文件
find / -name kins*# 刪除文件
rm -rf path

刪除挖礦程序文件

# 查找文件
find / -name kdevtmpfsi*
# 刪除
rm -rf path

由于是之前就遺留的定時任務(wù)下載的文件，所以這次沒有修改ssh的密鑰
這個是由于redis的漏洞造成的，黑客通過連接redis，然后向系統(tǒng)中注入程序，使用redis時，盡量選擇本地登錄，遠(yuǎn)程服務(wù)器盡量不開放redis端口

結(jié)語

其實(shí)這個在我的服務(wù)器上出現(xiàn)過多次，之后的幾次并不是因?yàn)槲业?379端口開啟，而是第一次處理的時候并沒刪除病毒在我服務(wù)器中植入的定時任務(wù)。如果刪除挖礦程序之后，沒用刪除定時任務(wù)，有可能病毒哪一天就重來了。期間我又很長一段時間沒有出現(xiàn)高占用的情況，是由于我的wget和curl命令出現(xiàn)了問題，無法下載文件，所以沒有病毒。當(dāng)我修復(fù)了這兩個命令沒多久，這個
挖礦程序又重新出現(xiàn)在了我的服務(wù)器之中，所以一定要清理干凈。

總結(jié)

以上是生活随笔為你收集整理的阿里云Centos 解决挖矿程序：kdevtmpfsi--服务器CPU占用高、内存占用高的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。