首页 > 其他分享 >记一次NACOS开放公网访问导致服务器被挖矿的解决流程 [kdcflush] acosd

记一次NACOS开放公网访问导致服务器被挖矿的解决流程 [kdcflush] acosd

时间:2024-07-26 13:29:34浏览次数:15  
标签:脚本 这个 服务 NACOS kdcflush 服务器 nacosd 挖矿

前言

事情的起因是这样的,昨天领导找到我说服务器内存满了,影响其他程序正常运行了,让我把测试服务器上之前启动的六个JAVA程序停一下,接着我就登上服务器执行docker compose down把服务关掉,临走之前习惯性使用htop查看一下资源面板,意外发现服务器中有个叫[kdcflush] acosd的进程把服务器CPU性能吃满了

image

我见识少第一次看到这个服务,觉得应该是公司运行的,好奇心驱使我网上查了下资料,想知道这个中间件(或者其他的程序)的作用是什么,如此消耗性能没准跟AI模型有关,好玩的话以后自己也折腾玩玩,但是查了有一会没找到对应的资料,感觉不太妙,接着跟领导确认了下这个进程是不是我们自己运行的,最终得到的结论是服务器很有可能被挖矿了

意识到问题后领导把它交给了我,我自己也有服务器也处理中过几次挖矿脚本,不过自己的服务器还不是随便折腾,当时我的处理方案就是把数据拷贝出来,给云服务重新装个系统,再把资料放回去服务跑起来就解决了,但是公司的服务器显然不能这么做,不过幸好思路还是有的,这里记录一下解决的流程

正文

挖矿脚本这个东西我遇到好多次了,这是倒是我第一次真正面对他,凭我对LINUX服务器的熟悉程度并不能直接解决它,于是我用kill -9 29273先简单粗暴的把进程杀掉,然后去预习一下资料顺便补补课,大概一个半小时后我准备回来解决它,不出意外它又背着我偷偷运行起来了

image

首先每个运行的进程都会有一个PID,也就是上面截图中的第一列,而LINUX中一切皆文件,所以这个进程会以文件的形式存在于/proc/pid/exe,查看一下这个进程文件

image

这个进程的文件指向了/usr/sbin/nacosd文件,瞬间就想明白了,前段时间用测试服务器搭建了NACOS注册中心,用户名密码都是默认的nacos也没改默认端口号没设置鉴权,就那么明晃晃的摆在公网上,原来问题出在这了

杀掉这个脚本很简单,不过得想办法彻底杀掉他不让它在偷偷跑回来,这里先检查服务器中有没有可疑的定时任务

image

网上简单查了一下titanagent感觉挺正常的,定时任务算是排查完了,接下来排查系统中有没有注册可疑的服务,根据大佬的文章得知LINUX中服务都已文件的形式存放在/etc/systemd/system目录下,这里检查该目录下有没有可疑的服务

image

嗯!可疑,看看这个服务的内容是什么

image

嗯!没错了,这个服务的作用就是运行这个挖矿脚本,如果我猜的不错这个服务肯定设置开机自启了

image

这样依赖思路就理清了,先使用systemctl disable system-nacosd命令关闭该服务的开机自启,然后使用systemctl stop system-nacosd命令停止该服务,然后使用rm命令删除服务配置文件(这部分忘截图了),接着删除/usr/sbin/nacosd这个脚本文件,就算大功告成了

image

第一次停止脚本大概一个半小时左右再回去看,脚本自己就又跑起来了,如今已经到了第二天的中午服务器还很安静,应该是成功了!

就写到这吧,能力有限技术有限,如果还有哪些我没考虑到的地方欢迎指点

标签:脚本,这个,服务,NACOS,kdcflush,服务器,nacosd,挖矿
From: https://www.cnblogs.com/hanzhe/p/18325131

相关文章

  • 【nacos】记一次使用NacosExploitGUI扫描发现nacos安全漏洞
    一、场景   公司使用nacos作为配置和注册中心,使用的版本是1.4.0 二、下载NacosExploitGUIhttps://github.com/charonlight/NacosExploitGUI下载release中的压缩包  三、运行NacosExploitGUI1、运行$java-jarNacosExploitGUI_v4.0.jarError:JavaFXruntime......
  • Linux上面部署nacos
    1)下载nacos包,并移动到/opt文件夹下面。2)解压包:unzipnacos-server-1.4.0.zip(解压之后,可以将文件移到/usr/local/文件夹下面或者保留在当前位置)3)配置Nacos:进入解压后的Nacos目录,编辑conf/application.properties文件,根据需要配置Nacos的相关参数。例如:propertiesserver.conte......
  • Nacos 配置中心配置加载源码分析
    前言:上一篇我们分析Nacos配置中心服务端源码的时候,多次看到有去读取本地配置文件,那本地配置文件是何时加载的?本篇我们来进行详细分析。Nacos系列文章传送门:Nacos初步认识和Nacos部署细节Nacos配置管理模型–命名空间(Namespace)、配置分组(Group)和配置集ID(DataID)......
  • 最新nacos下载安装,版本号2.4.0,nacos持久化存储到本地mysql中,nacos配置登录账户密码
    官网:https://nacos.io/zh-cn/docs/quickstart/quick-start1.下载地址:https://github.com/alibaba/nacos/releases网络不好,很难下载。直接使用git克隆,然后自己编译,这是最快的了。克隆:gitclonehttps://github.com/alibaba/nacos.git然后到根目录中(我的:E:\Demos\nacos),执行cmd命令:mv......
  • linux到nacos获取配置
    #!/bin/bash#Nacos服务器地址nacos_server="http://xxx:8848"#命名空间ID(如果有)namespace_id="ecch-prod"#配置的DataIDdata_id="ecch.yaml"#配置的Groupgroup="ecch_prod"#Nacos认证信息(如果需要)#username="your-username"#passw......
  • Nacos 高级详解:提升你的开发和部署效率
    Nacos高级一、服务集群需求服务提供者搭建集群服务调用者,依次显示集群中各服务的信息搭建修改服务提供方的controller,打印服务端端口号packagecom.czxy.controller;importorg.springframework.web.bind.annotation.*;importjavax.annotation.Resour......
  • Nacos 高级详解:提升你的开发和部署效率
    Nacos高级一、服务集群需求服务提供者搭建集群服务调用者,依次显示集群中各服务的信息搭建修改服务提供方的controller,打印服务端端口号packagecom.czxy.controller;importorg.springframework.web.bind.annotation.*;importjavax.annotation.Resourc......
  • nacos实现对minio的动态版本切换
    问题:怎样在项目部署后,在不涉及对源码的改动情况下,以及如部分场景下业务的更替进行版本切换呢?这里我们选择通过nacos进行相关操作,下面将以nacos控制minio修改服务提供商这一示例进行演示首先,什么是nacos?Nacos是阿里巴巴开源的一个易于构建云原生应用的动态服务发现、配置管理和......
  • 写一个 python daemo 注册到nacos中
     """注册到nacos中的deamonnacos:2.3.2(模式:standalone)python:3.6.8nohuppython3demon.py&"""importrequestsimportthreadingimporttime#Nacos服务器地址和端口nacos_url="http://127.0.0.1:8848"#Nacos登录信息user......
  • 如何平稳地从nacos迁移到r-nacos?
    1.引言很多同学了解r-nacos特性后最开始只将r-nacos用于开发测试环境。经过一段时间的使用后,部分同学有打算生产环境也从nacos迁移到r-nacos。那么如何平衡地从nacos迁移到r-nacos呢?r-nacos简介:r-nacos是一个用rust实现的nacos服务。相较于javanacos来说,是一个提供相同功......