Linux 服務器上有挖礦病毒 kdevtmpfsi 如何處理?
摘要:本機不是直接需要對外提供服務,可以拒絕外網卡入口所有流量,通過 jumper 機器內網登陸業務機器。服務器CPU資源使用一直處於100%的狀態,通過 top 命令查看,發現可疑進程 kdevtmpfsi。
服務器CPU資源使用一直處於100%的狀態,通過 top
命令查看,發現可疑進程 kdevtmpfsi
。通過 google搜索,發現這是挖礦病毒。
排查方法
首先
:查看 kdevtmpfsi
進程,使用 ps -ef | grep kdevtmpfsi
命令查看,見下圖。
PS: 通過 ps -ef
命令查出 kdevtmpfsi
進程號,直接 kill -9 進程號並刪除 /tmp/kdevtmpfsi 執行文件。但沒有過1分鐘進程又運行了,這時就能想到, kdevtmpfsi
有守護程序或者有計劃任務。通過 crontab -l
查看是否有可疑的計劃任務。
第二步
:根據上面結果知道 kdevtmpfsi
進程號是 10393
,使用 systemctl status 10393
發現 kdevtmpfsi
有守護進程,見下圖。
第三步
:kill 掉 kdevtmpfsi 守護進程 kill -9 30903 30904
,再 killall -9 kdevtmpfsi
挖礦病毒,最後刪除 kdevtmpfsi 執行程序 rm -f /tmp/kdevtmpfsi
。
事後檢查
- 通過
find / -name "*kdevtmpfsi*"
命令搜索是否還有 kdevtmpfsi 文件 - 查看 Linux ssh 登陸審計日誌。
Centos
與RedHat
審計日誌路徑爲/var/log/secure
,Ubuntu
與Debian
審計日誌路徑爲/var/log/auth.log
。 - 檢查 crontab 計劃任務是否有可疑任務
後期防護
- 啓用
ssh公鑰登陸
,禁用密碼登陸。 -
雲主機
:完善安全策略,入口流量,一般只開放 80 443 端口就行,出口流量默認可以不限制,如果有需要根據需求來限制。物理機
:可以通過硬件防火牆
或者機器上iptables
來開放出入口流量規則。 - 本機不是直接需要對外提供服務,可以拒絕外網卡入口所有流量,通過
jumper
機器內網登陸業務機器。 - 公司有能力可以搭建安全掃描服務,定期檢查機器上漏洞並修復。
小結
:以上例舉幾點措施,不全。這裏只是拋磚引玉的效果,更多的措施需要結合自己業務實際情況,否則就空中樓閣。
---本文結束感謝您的閱讀。 微信掃描二維碼,關注我的公衆號---