2、其次利用这个进程找到挖矿程序的守护进程并kill它,删除守护进程的文件,删除挖矿程序的所有文件。
3、最后杀死挖矿进程并删除它的定时任务即可。
前几天突然发现公司服务器很卡,CPU经常飙到200%;网站服务被自动停止,甚至服务器崩溃;于是进行排查,发现一个名为:kdevtmpfs的进程占用了180%多的CPU,吓了一跳,于是赶紧排查问题:首先查到这个进程并不少我们服务器用到的进程,于是在网上查找这个问题,发现很多人都遇到过,于是根据网上的一个教程开始清理:
1、删除掉/tmp文件下的kdevtmpfs文件;删除掉kdevtmpfs对应的进程,清理掉定时任务;(无效,几分钟后依然会自动重启,自动在定时任务新增定时任务)( https://blog.csdn.net/qq503758762/article/details/103714342 )
2、修改定时任务,不允许新增定时任务,复述1的步骤;(无效,依然会自动重新启动);
3、经历上述两个方法都无效之后,做了以下 *** 作:a、先用top命令查看进程号;b、根据systemctl status进程号命令,查看该进程对应的父进程;把对应进程下的程序都干掉;重复几次发现都是一个叫做kingsfdt的进程会和这个kdevtmpfs同时启动;c、查看kingsfdt的进程,发现这也是一个陌生的进程,先不kill掉d:查看系统防火墙,发现对应的23549端口不知道什么时候开放的,并且对应的是kingsfdt这个进程,于是果断把这个进程干掉,同时把端口号封掉;e、再回头删除tmp下的kdevtmpfs文件,再依次删除两个陌生进程;f、登录AWS控制台,把ssh端口改掉,22端口封掉;进入ssh修改root密码,设定只能本地登录;重启服务器;观察了一天,发现服务稳定了,系统也正常运行了,CPU也正常了。开心。
发现一台服务器,CPU使用率一直50%左右,top查看一进程名称为-bash,按c查看详情,名称显示为python
十分可疑
杀掉进程,清空crontab内容,并删除此目录文件,发现过一阵进程又被启动起来了
查看/etc/cron.hourly,发现有一个sync文件,还是会定时执行,内容为
此文件还被加了保护权限,需要用chattr去除后删除
cron.daily cron.weekly cron.monthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除
删除/opt/.new目录时,发现此目录下还有一个/opt/.md目录,内容如下
病毒运行原理是
其他常用的诊断命令
关联文章:
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复
参考文章:
【PC样本分析】记录最近与挖矿病毒的斗智斗勇
【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)