linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)

话不多说上干货

突然发现服务挂了,服务器无法登录,直接在管理平台重启后登录
检查服务器

top  查看当前服务器情况

发现异常,kswapd0把cpu干爆了

linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)_第1张图片

 网上查了一圈发现这特喵的是挖矿病毒  惊呆了

接下来是我自己的查询网上以及自己摸索的一些方法

第一步 删除定时器里的定时任务

查询是否有异常的定时任务
crontab -l
如果有可以进行删除
crontab -e 
如果自己没有设置过定时器,直接进行删除
crontab -r

以下我定时器中的异常定时任务

第二步 删除掉定时器中的异常目录

rm -rf /root/.configrc4
rm -rf /dev/shm/.Xkal/.rsync/c/aptitude

第三步 查询异常进程与文件,对其进行删除

find / -name kswapd0
ps -ef | grep kswapd0
查询进程,将相关的进程直接kill -9 pId杀死

第四步 查询挖矿病毒文件

find / -name kdevtmpfsi
对其进行删除,如果删除不掉,可以尝试查询进程
ps -ef | grep kdevtmpfsi
kill掉后再进行删除,如果再无法删除
用chattr去掉文件属性
chattr -i kdevtmpfsi
直接对文件进行删除

第五步 查询服务器是否有异常的公钥

cat ~/.ssh/authorized_keys 查看是否有陌生的的公钥,有则删除掉

安全建议
    尽量用密钥连接服务器,禁用账号密码连接,修改默认的22端口。
    封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
    密码增强复杂性,别用什么 1q2w3e之类的,这些都的常用的破戒字典也有的。
    及时修补系统和软件漏洞

观察几天如果没问题就没事了

你可能感兴趣的:(linux,运维,服务器)