记一次解决kdevtmpfsi挖矿病毒

最近的一个项目即将上线,在一个微软云测试账号上进行预部署并测试。

部署完成没几天,突然发现有个进程占满了CPU,此时我就知道中挖矿病毒了,因为在之前公司的项目中也遇到过。

中毒了那就解决呗。。。

某度了一下发现,中这个毒的人还不少,解决方式都如出一辙,删除病毒文件

rm -f /tmp/kdevtmpfsi
rm -f /tmp/kinsing

其中第二个为病毒的守护进程文件,另外检查定时 crontab -l 看下是否有可以的定时任务进行删除。

再用命令kill掉病毒和守护进程

ps -aux | grep kinsing |grep -v grep|cut -c 9-16 | xargs kill -9
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-16 | xargs kill -9

查了下中毒原因都说是redis未设置密码或弱密码引起的,但是我的redis端口并未开放外网访问权限,到现在也不清楚什么原因。但是呢,我的redis确实未设置密码,所以立即把redis改了密码,然后更换了端口,重启。

然而第二天病毒又出现了。。。

使用 netstat -antp 命令发现有陌生IP连接了sshd,但是我i的机子只允许使用RSA私钥登录,难道私钥泄露了?我又重新生成了私钥,删除了原来的。。。

原以为这次应该OK了

没想到第二天还是出现了病毒,而且还有陌生IP连接sshd

我想用固定IP登录,其他的IP全部禁止,然而发现公司的外网IP不固定,每天的都不一样。。如果设置了可能自己都登不进去了。。。而且也未找到根本原因。。。

当我快绝望时,准备使用一种以暴制暴的方式,就是自己加个定时任务,检查是否有病毒,有病毒就kill掉,虽然这种方式治标不治本。。。突然发现有陌生IP连接了项目里的springcloud gateway,

然后查了下,在版本< 3.0.7的gateway中有个远程执行代码的漏洞。。。

解决方式,要么升级gateway到3.0.7,或者如果没使用到acture接口的话,直接加上配置禁用

management:
  endpoint:
    gateway:
      enabled: false

或者如果网关外网用不上就直接用防火墙关了网关端口。。。

目前到现在病毒未出现过,但是现在没有证据证明病毒一定是从这个口进来的,只能继续观察了

你可能感兴趣的:(运维,JAVA,spring,cloud,redis,安全,服务器)