挖矿kdevtmpfsi病毒处理

通过top命令可以看到kdevtmpfsi导致CPU 700%多,导致该病毒只要是通过redis漏洞进来的。
挖矿kdevtmpfsi病毒处理_第1张图片
1、该病毒还有守护进程,如果光kill掉该病毒,过段时间又起来的。守护进程:kinsing
2、该病毒还有定时任务、如果光杀死kdevtmpfsi和kinsing没有用,定时任务会再度重启这两个进程。


解决办法:
1、设置redis只对当前服务器或者指定服务器放开。取消掉 bind 0.0.0.0  设置 bind  127.0.0.1  或者加其他ip ,
2、crontab -l    ----》可以在定时任务中可以看到病毒IP,在通过阿里云安全组设置入规则。设置病毒ip拒绝该病毒访问,如果定时任务没有其他任务,然后通过crontab -r
执行两次删除该脚本
3、 杀死进程
ps aux|grep kdevtmpfsi|grep -v "grep"|awk '{print $2}'|xargs   kill -9
ps aux|grep kinsing|grep -v "grep"|awk '{print $2}'|xargs   kill -9
4、删除病毒遗留文件
可以通过 find / -name kinsing或者通过进程ps -ef|grep kinsing
rm -rf /etc/kinsing
rm -rf /tmp/kdevtmpfsi
rm -rf /var/tmp/kdevtmpfsi

重点:上面办法不一定解决病毒,如果redis删了病毒肯定是没有了,如果不想发生下次病毒再来,可以将服务器开启防火墙、对redis设置白名单,特定ip可以访问,只不过防火墙开启后很多服务都要设置访问权限,比较麻烦一点
比如:设置redis访问ip

iptables -A INPUT -s 121.4.3.9 -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -s 47.4.3.9 -p tcp --dport 6379 -j ACCEPT

其他知识点:
/etc/hosts.deny  
service xinetd restart
对外访问ip设置可能没用,所以可以直接用阿里云安全规则ip访问规则。

 

你可能感兴趣的:(架构,网络,服务器,安全)