docker2379公开导致kdevtmpfsi植入并kill rm命令相继失陷

起因:

    之前在开发过程中,使用亚马逊的ec2实例搭建docker私有仓库,然后开放了2375端口并且没做ip限制,后面发现cpu使用率过高,采用top发现kdevtmpfsi该挖矿病毒在作祟

    植入病毒后,kill命令 rm 命令也都无法正常使用(这里怀疑是骇客对该套件进行了更改,使机主无法对此挖矿病毒进行处理)

    后续发现是docker导致,便将docker服务进行关闭,该挖矿病毒便被关闭,但rm kill依旧无法还原



恢复kill 命令操作:

  我们都知道,linux一切皆文件,既然kill命令实现,那么便是相应的套件被删除,或被修改

执行以下指令看是否有输出,有输出表示该档案被更动过.

```

rpm -Vf /usr/bin/kill

rpm -V util-linux-2.30.2-2.amzn2.0.4.x86_64

```

随后删除 /usr/bin/kill 档案

sudo rm /usr/bin/kill

重新安装kill命令档案

sudo yum reinstall util-linux-2.30.2-2.amzn2.0.4.x86_64 -y


恢复rm 命令操作:

执行下方指令查看 rm 的执行挡在哪边,如果已经被删除或者是被移到别的地方,会查不到资料

which rm

正确应该是/usr/bin/rm,若是不正确则移动到此位置

重新安装rm命令档案

sudo yum reinstall coreutils-8.22-24.amzn2.x86_64


期间会出现的问题:

 yum套件不存在:

$\color{red}{红色字体若是指向上方yum命令,无法下载或者无法找到安装包,检查yum源,路径:/etc/yum.repos.d/检查是否存在以下两个套件amzn2-core.repo amzn2-extras.repo不存在则从其他实例copy过来再次执行若是报error http错误解决方案:对比/etc/yum/vars 与其他实例的文件若是缺失,则copy过来再重新执行以上yum安装命令}$

你可能感兴趣的:(docker2379公开导致kdevtmpfsi植入并kill rm命令相继失陷)