突然發現公司測試服務器CPU過高,是這兩個sysupdate, networkservice進程,很明顯是被挖礦了,記錄下來以供參考。
病毒會把一些文件給加i鎖或a鎖,導致無法修改數據,所以某些操作需要清除鎖
這個是kdevtmpfsi的守護進程,把它kill掉,然后kill掉kdevtmpfsi,然后刪文件.
ps -aux | grep kinsing
[root@localhost tmp]# ps -aux | grep kinsing root 11459 0.0 0.0 112812 968 pts/0 S+ 11:57 0:00 grep --color=auto kinsing root 26969 0.0 0.2 718976 33056 ? Sl 05:43 0:01 ./kinsingwtCDqh7M9U
一般這個病毒會修改定時任務,如果被入侵的haul,要清楚定時任務,沒有的話就算了
chattr -ai /var/spool/cron chattr -ai /var/spool/cron/root crontab -r
lsattr 查看
chattr -i 去除i鎖
chattr +i 加i鎖
sysupdate,networkservice以及一些伴生文件sysguard、update.sh,config.json都在/etc/下,同樣的,除鎖,刪文件
chattr -i /etc/networkservice rm -rf /etc/networkservice chattr -i /etc/sysupdate rm -rf /etc/sysupdate chattr -i /etc/sysguard rm -rf /etc/sysguard chattr -i /etc/update.sh rm -rf /etc/update.sh chattr -i /etc/config.json rm -rf /etc/config.json
然后干掉進程
利用top就能看到networkservice,sysupdate的PID
kill -9 PID號 PID號 PID號
在/tmp下有一個kdevtmpfsi,這個也是病毒帶來的
chattr -i /tmp/kdevtmpfsi rm -rf /tmp/kdevtmpfsi
順便清除掉 .ssh/authorized_keys內陌生的主機,因為沒有設置這個,就直接清空了
chattr -i /root/.ssh/authorized_keys echo "" > /root/.ssh/authorized_keys
最后修改回來被病毒修改的文件
mv /usr/bin/wge /usr/bin/wget mv /usr/bin/cur /usr/bin/curl
該病毒是因為redis的配置文件問題,不嚴謹導致被鑽了空子開放了其余端口,基於這個可以打開防火牆,只開放某些需要的端口
尤其是限制6379端口的訪問來源,或者在redis配置文件里限制訪問來源