背景:由於公司業務需要,職務由自動化測試,變更服務器后端開發。於是在網上購置了雲服務器,寫了一個簡單的后台demo,部署在服務器上做測試。整個項目是以docker封裝redis,mysql,dockerfile封裝springboot項目,由於是個人做練習用服務器,基本沒大流量情況,在項目運行一段時間后,發現數據訪問異常卡頓,發現服務器cpu使用率達到100%,其中kdevtmpfsi進程占用50%以上,然后網上查得這個病毒為挖礦病毒。下面將處理方法介紹如下。
1.進入服務器,使用top命令,查看服務器運行狀態:
2.使用ps -ef|grep kdevtmpfsi 命令查看進程
3.使用docker ps 查看docker-redis容器id,再輸入docker exec -it containerid /bin/bash 進入容器
4.刪除kdevtmpfsi文件,rm -rf /tmp/kdevtmpfsi
5.使用touch 命令在/tmp目錄下創建一個同名的kdevtmpfsi空文件
6.退出容器,殺死kdevtmpfsi進程:kill pid,完成整個處理過程。
原理:kdevtmpfsi挖礦病毒是依托於docker-redis而存在,主要表現是大量占用服務器CPU資源,按照普通的處理方法是找到進程,並且kill進程。kill進程后,病毒會檢查進程,在發現進程被強行終止后,病毒會去尋找容器中的/tmp/目錄下的kdevtmpfsi文件,如果發現有這個文件,就會執行這個文件,進而讓kill進程操作無效,如果在/tmp/目錄下沒有發現kdevtmpfsi文件,就會重新生成kdevtmpfsi文件,然后執行。所以我們在/tmp/目錄下創建一個同名的kdevtmpfsi空文件,起到欺騙病毒程序效果,避免反復感染。
另網上有說避免使用redis的默認6379端口,有待驗證。