服務器CPU資源使用一直處於100%的狀態，通過 top 命令查看，發現可疑進程 kdevtmpfsi 。通過 google搜索，發現這是挖礦病毒。

排查方法

首先 ：查看 kdevtmpfsi 進程，使用 ps -ef | grep kdevtmpfsi 命令查看，見下圖。

PS： 通過 ps -ef 命令查出 kdevtmpfsi 進程號，直接 kill -9 進程號並刪除 /tmp/kdevtmpfsi 執行文件。但沒有過1分鐘進程又運行了，這時就能想到， kdevtmpfsi 有守護程序或者有計劃任務。通過 crontab -l 查看是否有可疑的計劃任務。

第二步 ：根據上面結果知道 kdevtmpfsi 進程號是 10393 ，使用 systemctl status 10393 發現 kdevtmpfsi 有守護進程，見下圖。

第三步 ：kill 掉 kdevtmpfsi 守護進程 kill -9 30903 30904 ，再 killall -9 kdevtmpfsi 挖礦病毒，最後刪除 kdevtmpfsi 執行程序 rm -f /tmp/kdevtmpfsi 。

事後檢查

• 通過 find / -name "*kdevtmpfsi*" 命令搜索是否還有 kdevtmpfsi 文件
• 查看 Linux ssh 登陸審計日誌。 Centos 與 RedHat 審計日誌路徑爲 /var/log/secure ， Ubuntu 與 Debian 審計日誌路徑爲 /var/log/auth.log 。
• 檢查 crontab 計劃任務是否有可疑任務

後期防護

• 啓用 ssh公鑰登陸 ，禁用密碼登陸。
• 雲主機 ：完善安全策略，入口流量，一般只開放 80 443 端口就行，出口流量默認可以不限制，如果有需要根據需求來限制。 物理機 ：可以通過 硬件防火牆 或者 機器上iptables 來開放出入口流量規則。
• 本機不是直接需要對外提供服務，可以拒絕外網卡入口所有流量，通過 jumper 機器內網登陸業務機器。
• 公司有能力可以搭建安全掃描服務，定期檢查機器上漏洞並修復。

小結 ：以上例舉幾點措施，不全。這裏只是拋磚引玉的效果，更多的措施需要結合自己業務實際情況，否則就空中樓閣。

相關文章