阿里云-CENTOS7-挖矿病毒

2021年11月21日 阅读数:8
这篇文章主要向大家介绍阿里云-CENTOS7-挖矿病毒,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

公司在阿里云上申请了服务器,没部署几个程序,并且这几个程序都是内存型的,可是经过TOP看资源,CPU随时都是高负荷状态,后来去百度找了一圈,终于觅得良方html

错误信息

先上阿里云上的报警信息。有个最大的问题是:top命令查看本身服务器CPU运行状况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟之后,就出现了第二个警告。告警图示:
在这里插入图片描述redis

 

在这里插入图片描述

使用netstat -antp命令查看端口使用状况,又出现了kdevtmpfsi,以下图安全

图三

解决方式

通常出现kdevtmpfsi病毒都会伴有定时任务,就会出现我上面说的处理一次后,又会继续出现,反反复复处理不干净服务器

停掉kdevtmpfsi的程序

ps aux阿里云

找到kdevtmpfsi的进程url

在这里插入图片描述

删除掉与kdevtmpfsi相关的进程spa

kill -9 20267
kill -9 20367.net

删除Linux下的异常定时任务

crontab -l 查看定时任务
crontab -r 表示删除用户的定时任务,当执行此命令后,全部用户下面的定时任务会被删除(慎用,会将正常的定时任务也清除掉)线程

crontab -e 进去删除病毒的定时任务(推荐)code

在这里插入图片描述

结束kdevtmpfsi进程及端口占用

找到kdevtmpfsi端口 我这里是28244 一中第三张图能够看到。不要直接杀掉,由于有守护线程还会重启

ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

在这里插入图片描述

kill -9 28244
kill -9 28829

删除掉kdevtmpfsi的相关文件

cd  /tmp
ls
rm -rf kdevtmpfsi 
rm -rf /var/tmp/kinsing  
最后本身能够再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing

预防病毒

最根本的缘由是本身服务器上的redis将保护模式关掉,也没有设置密码,致使病毒利用6379端口进行攻击。

你们能够参考阿里云的Redis服务安全加固 阿里Redis服务安全加固