最近在几台测试服务器上跑一些业务数据,但是过了几天服务器突然变的奇慢无比,敲个命令就像卡壳一样,有时候甚至都连接不上,最开始我以为是网络问题,就强行kill掉进程,重新跑一下进程,最后实在受不了,就上阿里云后台说重启下服务器吧,结果看到CPU的占用率已经到达了100%。
看到这样我以为是因为我跑了大量的数据导致CPU飙升的,然后我就kill到了进程,并且重启了服务器,启动之后CPU正常,我以为就是我跑数据导致的,此后我就没用这台服务器跑数据了,我就单纯的以为这就算处理好了,没想到等我过几天部署测试包的时候发现,又是奇慢无比,看了下CPU占用率又是99.9%,事实证明我还是太年轻了。
终于忍无可忍,就深究下吧,先用linux命令(top)查看下,到底是什么占用了这么多CPU资源,结果如下图:
看到的瞬间第一感觉就是,这是啥玩意,这是谁部署的。问了下平时身旁的背锅侠,好像也不是他弄的,看来这次这锅是甩不了了,那就只能...
What?中病毒了?
根据过往的经验,这玩意不应该是点了网页上的小姐姐才会发生的事情吗?我这为什么也就中毒了。
这东西是啥
既然已经中毒了,那就来看看这是什么东西吧。
挖矿病毒,大家身在同一个工地都应该或多或少都听过挖矿吧,要是挖到个币,就不用苦逼写文章了,话说回来,要想挖币需要很强的计算资源,那么也就需要众多的服务器来支撑,这里面有些逼呢又不想投入太多,只能通过一些恶毒的手段,将脚本植入的我们的服务器,比如我们需要安装一个Redis,那么像我英文不太好的人,可能第一时间不是去官网,而是找度娘,如果你正好找的资源里面被人植入了这种东西,那么很不凑巧,你的服务器可能要帮别人搞点东西了。
如何处理这种病毒
既然中了这种病毒,导致我们的服务器很卡,那么肯定要将它杀死,可能没怎么接触过Linux的同学,已经考虑重装镜像了。
其实大可不必。
首先呢我们找到此进程将其kill掉。
接下来删除kdevtmpfsi文件,一般在tmp目录下
还有一个文件(kinsing)我们也要将其杀死删掉
这里需要注意,我试了几台服务器kinsing文件可能存在不同的位置,但是我们可以通过上面的方式看到文件路径,将其找到删除就好。
这个时候我们通过top查看CPU的使用率,可以发现已经正常了
就在我以为万事大吉的时候,现实又给了我沉痛的一击,没过几分钟CPU使用率又到了99.96%,我要崩溃了。
跟度娘经过深入交流之后,终于知道了问题所在。
查看服务器的定时任务,crontab -l,大概会看到如下的任务,没有就不用管了,你可以将此ip查一下,一般都是国外的ip。
我们将这些定时任务删除即可,这个链接就是在我们kill到进程、删除文件之后进行下载,然后通过脚本再跑起来。
这也就是为什么我明明杀死了病毒,没过多久又出现了的原因。
到这里我们已经完全处理到此病毒了,如果你用的是阿里云ECS,当遇到这种东西的时候,其实会短信通知你,只不过当时太年轻没怎么在意,另外服务器端口默认是22,自己最好改个端口,不然很容易被恶人攻击。
现在服务器敲起来贼爽,再也不卡顿了。
