晚上收到主機的警報,CPU 使用率 100%,SSH 進去看發現是執行序 kdevtmpfsi 造成的,User 是 Nginx,上網查詢後確定是挖礦程式,又被抓去當礦工了,突然想起下午的時候 Sentry 有一個警報:
ErrorException ignition.executeSolution
當時就有想起一個 Laravel 的漏洞通知:CVE-2021-3129,大概確定是這個原因了,出事的 Laravel 版本是 6,facade/ignition 版本是 1.16.4,基本上用 composer 更新一下應該就好了,如果你也跟我一樣是有公開的專案,記得加上 –no-dev 參數,拆掉一勞永逸。
別忘記還要清除 kdevtmpfsi ,使用 crontab -l 檢查 Crontab 有沒有相關的執行任務,執行以下腳本清除 kdevtmpfsi
再觀察一下,沒有再發作就可以收工囉!
清除 kdevtmpfsi 可以參考這篇比較清楚喔:Linux服務器kdevtmpfsi挖礦病毒解決方法:治標+治本