01
前言
前两天的凌晨,某云服务器运营商突然发送短信说我服务器资源消耗过高,可能存在中高风险,我随即使用FinalShell连接,但是一直连不上,报连接失败,于是我就通过云服务器管理平台进行本地登录,进入了Linux系统,使用top命令查看一下,好家伙!直接给我惊到了,发现一个kdevtmpfsi的进程占用了192%的CPU,在网上一搜才知道,这是来自国外的一个挖矿病毒,那赶紧把进程杀死吧,于是使用kill -9 pid 命令强制杀死这个病毒进程,结果还没到1分钟,kdevtmpfsi这个进程又冒出来了,搞了好久没有搞定,因为是凌晨1-2点了,第二天还要上班,于是一气之下把服务器停机了,你不是喜欢挖矿嘛,我把服务器一停,看你怎么挖!
02
解决
第二天一早,我就急匆匆打开电脑解决这个问题,经过网上查询,终于找到了合理的解决方式。
停掉kdevtmpfsi进程以及守护进程
top
使用top命令,查看kdevtmpfsi进程前面的pid(因为当时解决的比较急,就没有截图)
systemctl status pid
使用systemctl status pid 命令查询该进程下的守护进程。应该会有一个叫kinsing的守护进程。
kill -9 pid pid
使用kill -9 命令将这两个进程都杀死
经过上面这些操作,这只是暂时性的制止,想要彻底消除干净还要经过下面的步骤:
删除linux的定时任务
crontab -l
首先查看linux系统中的定时任务,通过上面的命令,如果出现有带有ip的定时任务,可以先去网上查询一下这个ip的来源,一般是来自外国的,这个时候就确认这个定时任务就是挖矿病毒的来源。
crontab -e
使用-e来编辑定时任务的文件,使用i进行编辑,将来自国外的那个定时任务给删除掉,然后esc,:wq保存退出。
寻找病毒相关文件进行删除
使用find命令查询出所有文件的目录地址
find / -name kdevtmpfsi
find / -name kinsing
我的目录路径为tmp/kdevtmpfsi、etc/data/kinsing,根据find结果来排查。
防范挖矿病毒
通过网上搜索后,得知这个病毒是利用Redis配置不当渗透进来的,所以以后不要随意的将Redis端口进行开放,如果必要的话,提升Redis的密码强度。
可以使用Fail2ban工具,这是一个IP屏蔽工具,可以通过设置参数来控制用户访问服务器的重试次数,这样可以防止不法用户使用暴力破解服务器的密码,如果重试次数大于这个阈值,就会把这个人的ip放入黑名单。
OK!感谢小伙伴们观看我的文章,喜欢我的这个教训能让你们有所收获,点赞支持一下呦!