Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本

问题描述

  1. Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源;
  2. 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活;
  3. 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程;
  4. 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时间又会出现。

问题根源

  1. 服务器安装的redis镜像有问题,被植入kdevtmpfsi挖矿程序。
  2. redis未设置密码、或者密码过于简单
  3. 服务器被植入定时任务:下载病毒程序、并唤起,及进程存活监测

1.治本方法

  1. 更换redis镜像
  2. redis设置安全性高的密码
  3. 检查定时任务crontab -l,如有必要cat or vim 进入脚本,确认自家脚本没有串改
  4. 没有用到的端口,不要开放
  5. 可不做查出外部植入的定时程序,访问哪个ip下载病毒程序,将其拉黑

2.治标方法、稳定有效

  1. 编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh;
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi
  1. 新增定时任务;
    */1 * * * * /tmp/kill_kdevtmpfsi.sh
  2. top -d 5观察,解决

btw:顺便做一下【治本方法的2.3.4.】。
基本这两病毒进程一唤起,没开挖,就被杀掉,不会占用CPU资源
虽然有效,但毕竟治标,不影响公司业务的时候还是用治本的方案

ok,done~

你可能感兴趣的:(Linux)