kthrotlds cpu ขึ้น คืออะไร

เราเจอกับ hacker แล้ว crontab โดน hack ใช้ขุดบิทคอย mining crypto โดยผ่าน command kthrotlds เป็น kernel thread process อะไรที่เราใช้ crontab มันจะลบทิ้งหมด แล้วกลายเป็นโค้ดที่ใช้ขุดเหมือง โดยรันผ่าน kthrotlds สร้าง thread จำนวนมากทำงานไปขุดบิทคอยนั่นเอง

ตัว command kthrotlds มันจะอยู่ที่ /usr/etc/[kthrotlds]

หากเราลอง top แล้ว kill process มันไป มันจะกลับมาใหม่เรื่อยๆ สาเหตุเพราะ crontab มันแอบทำงานอยู่

เราต้องปิด service crond stop และหันไปใช้ sh แทน

ถึงแม้เราจะปิด crontab ไปแล้ว มันก็ยังไม่หายไป ผมไม่แน่ใจเหมือนกันว่าเพราะอะไร นั่งสู้กับมันอยู่ 10 ชม. ได้

วิธีจัดการ process ประหลาด ขุดบิทคอย ทำ CPU ขึ้น ให้ลบ crontab ทุกอย่าง

ที่โดนก็คือตัว kthrotlds กิน CPU อย่างหนัก โดน hack crontab ตอนนี้แก้ได้แล้ว

whereis crond

yum remove /usr/sbin/crond (คือยอมเลิกใช้งาน cron ไปเลย)

และทำการเปิดใช้งาน Firewall ssh ระบุ ip ใช้งานเฉพาะเครื่องที่เราอนุญาติพอ

สุดท้ายให้ เปลี่ยนรหัส root แล้วก็ restart server ซักรอบ แล้วก็ ปิด cron.d หากมันรันตอนเริ่ม

reference https://www.milesweb.com/forums/errors-and-solutions/crontab-error-renaming-varspoolcrontmp-xxxxky5zhv-to-varspoolcronroot/

reference https://www.srv24x7.com/kthrotlds-cve-2019-10149-exim/

Related posts:

This entry was posted in ไม่มีหมวดหมู่. Bookmark the permalink.