首页 星云 工具 资源 星选 资讯 热门工具
:

PDF转图片 完全免费 小红书视频下载 无水印 抖音视频下载 无水印 数字星空

记一次NACOS开放公网访问导致服务器被挖矿的解决流程 [kdcflush] acosd

编程知识
2024年07月26日 12:25

我要在这里放一段代码块

// 这是一段防爬代码块,我不介意文章被爬取,但请注明出处
console.log("作者主页:https://www.hanzhe.site");
console.log("原文地址:https://www.cnblogs.com/hanzhe/p/18325131");

前言

事情的起因是这样的,昨天领导找到我说服务器内存满了,影响其他程序正常运行了,让我把测试服务器上之前启动的六个JAVA程序停一下,接着我就登上服务器执行docker compose down把服务关掉,临走之前习惯性使用htop查看一下资源面板,意外发现服务器中有个叫[kdcflush] acosd的进程把服务器CPU性能吃满了

image

我见识少第一次看到这个服务,觉得应该是公司运行的,好奇心驱使我网上查了下资料,想知道这个中间件(或者其他的程序)的作用是什么,如此消耗性能没准跟AI模型有关,好玩的话以后自己也折腾玩玩,但是查了有一会没找到对应的资料,感觉不太妙,接着跟领导确认了下这个进程是不是我们自己运行的,最终得到的结论是服务器很有可能被挖矿了

意识到问题后领导把它交给了我,我自己也有服务器也处理中过几次挖矿脚本,不过自己的服务器还不是随便折腾,当时我的处理方案就是把数据拷贝出来,给云服务重新装个系统,再把资料放回去服务跑起来就解决了,但是公司的服务器显然不能这么做,不过幸好思路还是有的,这里记录一下解决的流程

正文

挖矿脚本这个东西我遇到好多次了,这是倒是我第一次真正面对他,凭我对LINUX服务器的熟悉程度并不能直接解决它,于是我用kill -9 29273先简单粗暴的把进程杀掉,然后去预习一下资料顺便补补课,大概一个半小时后我准备回来解决它,不出意外它又背着我偷偷运行起来了

image

首先每个运行的进程都会有一个PID,也就是上面截图中的第一列,而LINUX中一切皆文件,所以这个进程会以文件的形式存在于/proc/pid/exe,查看一下这个进程文件

image

这个进程的文件指向了/usr/sbin/nacosd文件,瞬间就想明白了,前段时间用测试服务器搭建了NACOS注册中心,用户名密码都是默认的nacos也没改默认端口号没设置鉴权,就那么明晃晃的摆在公网上,原来问题出在这了

杀掉这个脚本很简单,不过得想办法彻底杀掉他不让它在偷偷跑回来,这里先检查服务器中有没有可疑的定时任务

image

网上简单查了一下titanagent感觉挺正常的,定时任务算是排查完了,接下来排查系统中有没有注册可疑的服务,根据大佬的文章得知LINUX中服务都已文件的形式存放在/etc/systemd/system目录下,这里检查该目录下有没有可疑的服务

image

嗯!可疑,看看这个服务的内容是什么

image

嗯!没错了,这个服务的作用就是运行这个挖矿脚本,如果我猜的不错这个服务肯定设置开机自启了

image

这样一来思路就理清了,先使用systemctl disable system-nacosd命令关闭该服务的开机自启,然后使用systemctl stop system-nacosd命令停止该服务,然后使用rm命令删除服务配置文件(这部分忘截图了),接着删除/usr/sbin/nacosd这个脚本文件,就算大功告成了

image

第一次停止脚本大概一个半小时左右再回去看,脚本自己就又跑起来了,如今已经到了第二天的中午服务器还很安静,应该是成功了!

就写到这吧,能力有限技术有限,如果还有哪些我没考虑到的地方欢迎指点

From:https://www.cnblogs.com/hanzhe/p/18325131
本文地址: http://shuzixingkong.net/article/451
0评论
提交 加载更多评论
其他文章 pytest-req插件:更简单的做接口测试
pytest-req插件:更简单的做接口测试 背景 我们经常会用到 pytest 和 requests 进行接口自动化测试。 pytest 提供了非常方便的插件开发能力,在pytest中使用requests库首先会想到是否有已经封装好的插件,就像pytest-playwright、pytest-se
【VMware VCF】VMware Cloud Foundation Part 05:部署 SDDC 管理域。
之前文章(“VMware Cloud Foundation Part 03:准备 Excel 参数表。”和“VMware Cloud Foundation Part 04:准备 ESXi 主机。”),我们已经知道了对于部署一个 VMware Cloud Foundation 来说,需要准备部署参数配
【VMware VCF】VMware Cloud Foundation Part 05:部署 SDDC 管理域。 【VMware VCF】VMware Cloud Foundation Part 05:部署 SDDC 管理域。 【VMware VCF】VMware Cloud Foundation Part 05:部署 SDDC 管理域。
《左耳听风 传奇程序员练级攻略》读书笔记
本书是程序员大牛陈皓的文章汇总,内容包括技术、沟通、工程师文化等,通读之后摘录其中精华部分。开卷有益,能读到摘录部分也会收益,当然最好是去读原文,知识转化效率更高。除本书之外,还有一些他的文章也非常值得阅读,包括程序员如何变现,如何学习英语主题等。
《左耳听风 传奇程序员练级攻略》读书笔记 《左耳听风 传奇程序员练级攻略》读书笔记
Vue入门记录(一)
效果 本文为实现如下前端效果的学习实践记录: 实践 入门的最佳实践我觉得是先去看官网,官网一般都会有快速入门指引。 根据官网的快速上手文档,构建一个新的Vue3+TypeScript,查看新建的项目结构: 现在先重点关注components、views、App.vue与main.ts。 compon
Vue入门记录(一) Vue入门记录(一) Vue入门记录(一)
Linux服务器PBS任务队列作业提交脚本的使用方法
本文介绍在Linux服务器中,通过PBS(Portable Batch System)作业管理系统脚本的方式,提交任务到服务器队列,并执行任务的方法~
Linux服务器PBS任务队列作业提交脚本的使用方法 Linux服务器PBS任务队列作业提交脚本的使用方法 Linux服务器PBS任务队列作业提交脚本的使用方法
基于.NET开源、强大易用的短链生成及监控系统
前言 今天大姚给大家分享一个基于.NET开源(MIT License)、免费、强大易用的短链生成及监控系统:SuperShortLink。 项目介绍 SuperShortLink是一个基于.NET开源(MIT License)、免费、强大易用的短链生成及监控系统,包含了短URL的生成、短URL跳转长
基于.NET开源、强大易用的短链生成及监控系统 基于.NET开源、强大易用的短链生成及监控系统 基于.NET开源、强大易用的短链生成及监控系统
PixiJS源码分析系列:第三章 使用 canvas 作为渲染器
使用 canvasRenderer 渲染 上一章分析了一下 Sprite 在默认 webgl 渲染器上的渲染,这章让我们把目光聚集到 canvasRenderer 上 使用 canvas 渲染器渲染图片的 demo 要使用 canvas 作为渲染器,我们需要引用 pixi-legacy.js /bu
PixiJS源码分析系列:第三章 使用 canvas 作为渲染器 PixiJS源码分析系列:第三章 使用 canvas 作为渲染器 PixiJS源码分析系列:第三章 使用 canvas 作为渲染器
一文详解 JuiceFS 读性能:预读、预取、缓存、FUSE 和对象存储
在高性能计算场景中,往往采用全闪存架构和内核态并行文件系统,以满足性能要求。随着数据规模的增加和分布式系统集群规模的增加,全闪存的高成本和内核客户端的运维复杂性成为主要挑战。 JuiceFS,是一款全用户态的云原生分布式文件系统,通过分布式缓存大幅提升 I/O 吞吐量,并使用成本较低的对象存储来完成
一文详解 JuiceFS 读性能:预读、预取、缓存、FUSE 和对象存储 一文详解 JuiceFS 读性能:预读、预取、缓存、FUSE 和对象存储 一文详解 JuiceFS 读性能:预读、预取、缓存、FUSE 和对象存储