問題描述

實例中CPU滿負(fù)載。使用top命令查看內(nèi)部存在異常進(jìn)程，發(fā)現(xiàn)kdevtmpfsi占用CPU較高，直接使用kill命令結(jié)束進(jìn)程或刪除命令文件，依然無效。嘗試檢查定時任務(wù)，禁用cron服務(wù)后，依然無效。

問題原因

被植入的除kdevtmpfsi進(jìn)程外，還存有守護(hù)進(jìn)程，一般進(jìn)程名為kinsing。

解決方案

阿里云提醒您：

?如果您對實例或數(shù)據(jù)有修改、變更等風(fēng)險操作，務(wù)必注意實例的容災(zāi)、容錯能力，確保數(shù)據(jù)安全。

?如果您對實例（包括但不限于ECS、RDS）等進(jìn)行配置與數(shù)據(jù)修改，建議提前創(chuàng)建快照或開啟RDS日志備份等功能。

?如果您在阿里云平臺授權(quán)或者提交過登錄賬號、密碼等安全信息，建議您及時修改。

請您參考以下步驟進(jìn)行操作。

注意：此方式僅為臨時處理方案，由于病毒植入場景較多，且出現(xiàn)該情況，很有可能操作系統(tǒng)或應(yīng)用程序已經(jīng)存在可被利用的漏洞。建議及時備份數(shù)據(jù)后，通過初始化的方式徹底清理，避免病毒殘留。重新部署業(yè)務(wù)后，建議及時檢查是否存在使用弱密碼的情況；操作系統(tǒng)以及應(yīng)用程序是否存在需要修復(fù)的漏洞，及時處理。進(jìn)程處理或文件處理前，一定要確認(rèn)已快照備份。

1.使用以下命令檢查實例內(nèi)部是否存在有定時任務(wù)，如有定時任務(wù)則暫時使用井號（#）注釋任務(wù)條目，暫時停止cron服務(wù)。

crontab -e

2.使用以下命令分別查看兩個進(jìn)程依賴的文件。

ps -aux | grep kdevtmpfsi

ps -aux | grep kinsing

3.使用以下命令刪除對應(yīng)命令文件.

rm -rf kdevtmpfsi

rm -rf kinsing

4.使用以下命令結(jié)束kdevtmpfsi和kinsing這兩個進(jìn)程。

kill -9 [$PID]

說明：[$PID]指的是kdevtmpfsih和kinsing的進(jìn)程號。

5.查看CPU負(fù)載是否已恢復(fù)正常。

適用于

?云服務(wù)器ECS

?輕量應(yīng)用服務(wù)器

阿里云代理商   阿里云合作伙伴