Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?

栏目: IT技术 · 发布时间: 4年前

内容简介:服务器CPU资源使用一直处于100%的状态,通过

服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi 。通过 google搜索,发现这是挖矿病毒。

Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?

排查方法

首先 :查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。

Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?

PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到, kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。

第二步 :根据上面结果知道 kdevtmpfsi 进程号是 10393 ,使用 systemctl status 10393 发现 kdevtmpfsi 有守护进程,见下图。

Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?

第三步 :kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904 ,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi

事后检查

  • 通过 find / -name "*kdevtmpfsi*" 命令搜索是否还有 kdevtmpfsi 文件
  • 查看 Linux ssh 登陆审计日志。 CentosRedHat 审计日志路径为 /var/log/secureUbuntuDebian 审计日志路径为 /var/log/auth.log
  • 检查 crontab 计划任务是否有可疑任务

后期防护

  • 启用 ssh公钥登陆 ,禁用密码登陆。
  • 云主机 :完善安全策略,入口流量,一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。 物理机 :可以通过 硬件防火墙 或者 机器上iptables 来开放出入口流量规则。
  • 本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。
  • 公司有能力可以搭建安全扫描服务,定期检查机器上漏洞并修复。

小结 :以上例举几点措施,不全。这里只是抛砖引玉的效果,更多的措施需要结合自己业务实际情况,否则就空中楼阁。

---本文结束感谢您的阅读。 微信扫描二维码,关注我的公众号---

Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?

以上所述就是小编给大家介绍的《Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

社交天性

社交天性

[美] 马修·利伯曼(Matthew D. Lieberman) / 贾拥民 / 浙江人民出版社 / 2016-6 / 69.90

[内容简介] ● 《社交天性》是社会心理学家马修·利伯曼解读人类“社会脑”的权威之作,它告诉我们为什么在充满合作与竞争的智慧社会中人们喜爱社交又相互连接,个人的社会影响力如何得以发挥,书中处处充满了令人惊喜的洞见。 ● 为什么有的人天生善于社交,而有的人总是充满障碍? 为什么智商越高的人越难相处? 心痛对人的伤害甚至超过头痛? 慈善组织如何激发人们的捐赠行为? ......一起来看看 《社交天性》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

html转js在线工具
html转js在线工具

html转js在线工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具