书接上文(https://www.laoqiange.club/2020/04/26/centos8/)
自从3年前我刷了笔记本之后,把笔记本当成了一个服务器使用,在里面爬爬小说,自己要用啥技术的时候先在这台服务器上面练练手。去年开始这台服务器会莫名的死机,由于后面用的不多了,每次都是重启几下,就不管了,连续死机几次之后我也不管了。前几天打扫卫生的时候又弄出来了,开机一下,开始感觉是上面安装的软件内存爆了,开机之后负载cpu负载20多,我把elk,爬虫的关了之后,cpu的负载降到了1.5左右,但是内存的没啥变化。我也没管继续放那里,第二天一看,又卡死了,屏幕都不刷新了(我屏幕ping 百度),只好重启,然后cpu正常,内存满了,虚拟内存也满了。我 top 看了下进程 M按内存排序发现了一个 .report_system 进程占用了 50%多内存,他是以airflow用户运行了,好像不是我启动的。查了下airflow 用户的进程竟然还有 systemd。查了下airflow用户的crontab
有几个类似的病毒程序,注释以后重启,目前至少笔记的风扇正常了,内存也正常了,cpu负载1以下了。
原因可能是,我在这台电脑上面部署airflow的时候,新建了一个airflow的用户,然后还让他可以登录。我老早之前把 sshd 端口内网穿透出去了,可能当时airflow的用户密码太简单了,让人扫出来了登录进来部署的。
我自己不会用ssh 登录airflow用户的,应该是被人扫出来的。 我最后把airflow ssh登录禁止掉了。
下次建这种用户的时候一定不能让能ssh,多一份隐患多一份危险
useradd -s /sbin/nologin -M your_username
