阿里云被挖矿使用,导致cpu长期处于100%,ddgs进程,xWx3T进程,关于redis密码
1、使用top命令,查看到一个叫xWx3T的进程cpu占用99.8%,由于我的阿里云是单核的,所以最高只能100%。
把它用kill命令杀死后,过一会儿又启动了,又占用100%。
使用ps -ef可以看到进程路径是在tmp文件夹下,于是我把这几个文件删了
2、刚开始我以为是linux的root密码简单了,被人破解了,于是重新设置了更复杂的 密码,可是仍然重新生成这几个文件,导致cpu又是100%,很恼人。于是写了个python脚本,后台挂起运行,当检测到存在xWx3T这个进程,就杀死他。起到了作用,cpu再也不会出现100%了。但是觉得这不是解决问题的根本,觉得密码是否被破解了。
因为xWx3T这个进程是导致cpu100%的原因,于是搜索xWx3T关键字,找不到任何相关的信息,后来觉得为什么除了qW3xT文件会有ddgs文件,于是ps aux ddgs,果然还有一个叫ddgs的进程,这个进程占用cpu十分小,使用top命令很难怀疑到他。
于是百度“阿里云ddgs”这几个字,果然找到了很多信息,看的是这位运维大牛的文章,http://www.361way.com/2t3ik-ddgs/5680.html。
这个顽固的进程和文件怎么杀都会重新启动,文件怎么删都会重新出现,原因是有定时任务。
具体的分析和追踪看http://www.361way.com/2t3ik-ddgs/5680.html这里。
把定时任务的 vim /var/spool/cron/root的这里的内容删除掉,就不会再出现重新生成文件和启动进程了。
3、最根本的原因不是系统密码被坏人破解了,是redis的密码设得太简单了,阿里云的redis默认是只能内网访问,但是我开启了外网访问权限,而且为了与链接其他机器redis的代码的配置保持一样图方便,只设置了一个简单的相同的redis密码,导致被人利用。
所以开启阿里云redis外网访问权限时候,redis一定要使用密码连接,而且是设置复杂的密码,再者不设置为6379默认端口,让坏人试探增加成本。
4、关于redis入侵,免密码登陆 https://blog.csdn.net/whs_321/article/details/51734602