服务器被攻击并植入kdevtmpfsi挖矿病毒木马

可以用腾讯电脑管家，管家云库，云安全检测中心，拥有全球最大的恶意网站数据库。云智能预警系统，在木马活动早期侦测并阻断木马的破坏行为，通过云查杀技术秒杀最新流行木马。精确打击病毒，瞬时查杀风险。

就是被获取了比特币。
挖矿是指利用电脑硬件计算出比特币的位置并获取比特币，这一过程被称之为挖矿。每隔一个时间点，比特币系统会在系统节点上生成一个随机代码，互联网中的所有计算机都可以去寻找此代码，谁找到此代码，就会产生一个区块，随即得到一个比特币，这个过程就是人们常说的挖矿。
计算这个随机代码需要大量的GPU运算，于是矿工们采购海量显卡用以更快速的获得比特币获利。比特币挖矿机，就是用于赚取比特币的电脑，这类电脑一般有专业的挖矿芯片，多采用烧显卡的方式工作，耗电量较大。用户用个人计算机下载软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一。

问题定位及解决步骤：
1、free -m 查看内存使用状态 ，发现free基本没了。--> 怀疑是服务有内存泄漏，开始排查
2、使用top命令观察，开启的服务占用内存量并不大，且最终文档在一个值，且服务为java应用，内存并没达到父jvm设置上限。按top监控占用内存排序，加起来也不会超过物理内存总量。查看硬盘使用量，占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素，怀疑mysql和nginx，开始排查
3、因为top命令看 mysql占用内存也再可控范围，是否存在connection占用过多内存，发现并不会，设置最大连接数为1000，最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查，但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。
4、最为费解的就是 通过free -m 查看的时候 基本全是used，cache部分很少，free基本没有。但top上又找不到有哪些进程占用了内存。无解
5、注意到有两个进程虽占用内存不多，但基本耗光了100%的cpu。开始想着占cpu就占了，没占内存，现在是内存不不够导致进程被kill的，就没注意这点。
6、实在搞不定，重启服务器，重启了所有服务，服务暂时可用，回家。在路上的时候发现又崩了。忐忑的睡觉。
7、早上起来继续看，这次留意注意了下那两个占用高cpu的进程，kdevtmpfsi 和 networkservice。本着看看是啥进程的心态，百度了下。真相一目了然，两个挖矿病毒。
突然后知后觉的意识到错误原因：
1、cpu占用率高，正常服务使用cpu频率较高的服务最容易最内存超标。（因为在需要使用cpu时没cpu资源，内存大量占用，服务瞬间崩溃），然后看top发现刚刚已经占用内存的进程已经被kill了，所以没发现内存有高占用的情况。
2、后面的应用继续使用cpu时也会发生类似情况，倒是服务一个一个逐渐被kill。
问题点基本定位好了，解决问题就相对简单很多：
通过百度，google，常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见，大致记录下要点。可能所有病毒都会有这些基础 *** 作。
① 首先，查看当前系统中的定时任务：crontab -l
我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件，把异常的删掉。要不然删了病毒文件还是会下载下来
crontab -r，全部删除命令（或根据需求删除定时任务）
② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除
③ kill 病毒进程，但注意kill了可能马上就重启了。因为有守护进程，需要把病毒进程的守护进程也kill掉
④ 检查是否root用户被攻击，可能系统配置信息被更改。
⑤ 最好能理解病毒脚本，通过看代码看它做了些什么。针对脚本取修复系统。

整了个“轻量级腾讯云服务”，用于个人测试。
root密码没设置得很复杂，ssh端口也用的默认。
2天，密码就被暴力破解了。

CPU慢负载爆了。

看看了日志，攻击者大概在机器上运行了三个程序。
程序杀了，一会也会运行，觉得麻烦，镜像直接reset了。
可惜三个程序的名称没详细记下来，没详细研究工作原理。
一个是bidenl(拜登？？)，一个是twxxxx（台湾？？？），还有一个没注意。

改进：

腾讯云服务器被DDOS和其他服务器被DDOS都一样，解决方法只有两个。

第一，上硬防，一般来说20G的硬防就够用了，当然如果有钱上50G或者更高硬防更好

第二，套CDN，只是国内CDN都收费，很容易流量超标，可以用cloudflare

---