cpu 98%之谜-wnTKYg

晚上想把前段时间(几个月了……)部署的Jenkins重启下,发现Tomcat启动极慢,没事,我等呗,我已开始以为Jenkins在启动的时候会做些更新,所以才导致慢,实际上真的做了下载

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
> 四月 07, 2017 9:29:20 下午 hudson.WebAppMain$3 run
信息: Jenkins is fully up and running
四月 07, 2017 9:29:22 下午 hudson.model.UpdateSite updateData
信息: Obtained the latest update center data file for UpdateSource default
四月 07, 2017 9:29:23 下午 hudson.model.DownloadService$Downloadable load
信息: Obtained the updated data file for hudson.tasks.Maven.MavenInstaller
四月 07, 2017 9:29:25 下午 hudson.model.DownloadService$Downloadable load
信息: Obtained the updated data file for hudson.tasks.Ant.AntInstaller
四月 07, 2017 9:29:26 下午 hudson.model.DownloadService$Downloadable load
信息: Obtained the updated data file for hudson.plugins.gradle.GradleInstaller
四月 07, 2017 9:30:19 下午 hudson.model.DownloadService$Downloadable load
信息: Obtained the updated data file for hudson.tools.JDKInstaller
四月 07, 2017 9:30:19 下午 hudson.model.AsyncPeriodicWork$1 run
信息: Finished Download metadata. 106,725 ms
>

但是也不至于这么慢啊,查看了下CPU 98.9%,这还得了?!

看现象

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
top - 21:28:56 up 170 days, 22:20, 1 user, load average: 4.08, 3.31, 2.31
Tasks: 113 total, 2 running, 110 sleeping, 0 stopped, 1 zombie
%Cpu(s): 99.3 us, 0.7 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 1882680 total, 72168 free, 963532 used, 846980 buff/cache
KiB Swap: 0 total, 0 free, 0 used. 613516 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
30498 root 20 0 223048 4540 428 S 89.1 0.2 36829:41 wnTKYg
23331 root 20 0 2576908 329956 23360 S 8.9 17.5 0:41.60 java
24 root 20 0 0 0 0 S 0.3 0.0 79:06.15 rcu_sched
23422 root 20 0 157716 2212 1532 R 0.3 0.1 0:00.69 top
31823 root 20 0 243240 38400 2408 S 0.3 2.0 223:02.23 AliHids
1 root 20 0 190704 3244 1976 S 0.0 0.2 4:42.32 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.16 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 0:22.99 ksoftirqd/0
5 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H
7 root rt 0 0 0 0 S 0.0 0.0 0:00.00 migration/0
8 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_bh
9 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcuob/0
10 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcuob/1

一个叫wnTKYg的程序占了89%+,不管三七二十一,它必须死!pkill wnTKYg

查原因

查下这个 wnTKYg吧,搜索结果如下 http://rdc.hundsun.com/portal/article/681.html?from=CSDN

wnTKYg同minerd和AnXqV两个一样都是挖矿程序, 应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽 100%, kill 进程会自动重启。

教训

吃一堑长一智,上次mongodb被攻击,阿里云ESC被入侵,到这次redis被攻击,学到了很多东西

一、安全很重要

别以为你弄个服务器随便部署点自己喜欢的东西,黑客就找不到你,照样攻击你,就算不是为了利益,人家一样在玩,或者他是初级黑客,专门攻击你这种小菜鸟。

二、没事还是把防火墙开起来吧
三、禁止密码登录服务器
四、最好还是弄个端口转发到服务器
我知道是不会有人点的,但万一有人想不开呢!