Tham gia Đăng nhập
Điểm:0
Davood Falahati avatar Server

Người dùng đáng ngờ với những con số đang nuốt chửng toàn bộ CPU

lá cờ cn
Davood Falahati

Trên máy chủ thử nghiệm của tôi, nơi tôi có gitlab-ce docker-run, máy chủ redis và một số dịch vụ quan trọng khác, tôi nhận thấy mình có một vị khách không mời, kdevtmpfsi. Tôi đã thử mọi thứ do cộng đồng đề xuất nhưng tôi thấy loại thông minh này.

Tôi chạy một số quy trình dưới những người dùng không tồn tại, nó bắt đầu bởi gitlab-+, nhưng tôi đã hủy tất cả những gì được xử lý với người dùng này. Bây giờ, tôi thấy một hành vi khác nhau. Nó chạy một số quy trình dưới một số người dùng có số, 998, 997, 996, vân vân.

Tất cả các lệnh họ chạy không tồn tại trên máy của tôi. Tôi không có postgres cục bộ, redis-server, gitlab-exporter, v.v.

28741 999 20 0 2873420 2,289g 0 S 331,8 29,4 1:31,19 kdevtmpfsi

Có ai giúp được không?

205
1 + 4
A.B avatar
lá cờ cl
A.B
kdevtmpfsi có thể là một công cụ khai thác tiền xu, nhưng ảnh chụp màn hình của bạn (vui lòng sử dụng văn bản thay thế) không hiển thị nó. Bạn đang đặt câu hỏi vì 1/ bạn đã có kdevtmpfsi nhưng không còn nữa? 2/bạn có một gitlab đang chạy bên trong docker nhưng cho rằng nó không chạy nữa? 3/ cái gì khác?
0
Hồi đáp
A.B avatar
lá cờ cl
A.B
Dù sao thì câu trả lời có lẽ là có: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
0
Hồi đáp
Pit avatar
lá cờ dz
Pit
Vui lòng kiểm tra [Kiến trúc ứng dụng Gitlab](https://docs.gitlab.com/ee/development/architecture.html#simplified-component-overview), đó có thể là một máy chủ bị xâm phạm hoặc cũng có thể không. Gitlab là một phần mềm tuyệt vời nhưng nó rất nặng, liên quan đến nhiều máy chủ khác (như Redis, PostgreSQL, ...)
0
Hồi đáp
lá cờ cn
Håkan Lindqvist
Bạn đã đề cập đến docker. Bạn có chắc chắn đây không phải là các quy trình trong vùng chứa có nhóm người dùng khác mà máy chủ lưu trữ không xác định không?
1
Hồi đáp
Điểm:1
avatar Server
lá cờ br
Simon Richter

Có hai điều xảy ra ở đây:

  1. Thực sự có một thợ mỏ đang chạy. Google cho kdevtmpfsi mang lại rất nhiều kết quả.
  2. Có khả năng điều này đang xảy ra bên trong một vùng chứa, vì vậy UID dạng số và tệp không tồn tại trên máy chủ đều là bình thường.

Vì vậy, có khả năng một trong các container đã bị xâm phạm. Cho dù họ đã thoát ra khỏi nó là không rõ.

Tôi muốn đặt cược vào "không", bởi vì sẽ tốn nhiều công sức hơn và nhiều khả năng bị bắt hơn (máy chủ vùng chứa có bảo mật tốt hơn nhiều so với vùng chứa) và không kiếm được nhiều tiền -- đây là công cụ khai thác quên lãng họ sẽ không liên lạc lại, khi nó bị tắt, không mất nhiều.

Tuy nhiên, bạn không thể chắc chắn, vì vậy điều đúng đắn và siêng năng cần làm là đánh bom trang web khỏi quỹ đạo.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.