解决linux挖矿病毒(kdevtmpfsi,sysupdate, networkservice)
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了解决linux挖矿病毒(kdevtmpfsi,sysupdate, networkservice),小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1560字,纯文字阅读大概需要3分钟。
内容图文
![解决linux挖矿病毒(kdevtmpfsi,sysupdate, networkservice)](/upload/InfoBanner/zyjiaocheng/934/36584aae9b2141938bdbdf1ff075c791.jpg)
突然发现公司测试服务器CPU过高,是这两个sysupdate, networkservice进程,很明显是被挖矿了,记录下来以供参考。
病毒会把一些文件给加i锁或a锁,导致无法修改数据,所以某些操作需要清除锁
这个是kdevtmpfsi的守护进程,把它kill掉,然后kill掉kdevtmpfsi,然后删文件.
ps -aux | grep kinsing
[root@localhost tmp]# ps -aux | grep kinsing root 11459 0.0 0.0 112812 968 pts/0 S+ 11:57 0:00 grep --color=auto kinsing root 26969 0.0 0.2 718976 33056 ? Sl 05:43 0:01 ./kinsingwtCDqh7M9U
一般这个病毒会修改定时任务,如果被入侵的haul,要清楚定时任务,没有的话就算了
chattr -ai /var/spool/cron chattr -ai /var/spool/cron/root crontab -r
lsattr 查看
chattr -i 去除i锁
chattr +i 加i锁
sysupdate,networkservice以及一些伴生文件sysguard、update.sh,config.json都在/etc/下,同样的,除锁,删文件
chattr -i /etc/networkservice rm -rf /etc/networkservice chattr -i /etc/sysupdate rm -rf /etc/sysupdate chattr -i /etc/sysguard rm -rf /etc/sysguard chattr -i /etc/update.sh rm -rf /etc/update.sh chattr -i /etc/config.json rm -rf /etc/config.json
然后干掉进程
利用top就能看到networkservice,sysupdate的PID
kill -9 PID号 PID号 PID号
在/tmp下有一个kdevtmpfsi,这个也是病毒带来的
chattr -i /tmp/kdevtmpfsi rm -rf /tmp/kdevtmpfsi
顺便清除掉 .ssh/authorized_keys内陌生的主机,因为没有设置这个,就直接清空了
chattr -i /root/.ssh/authorized_keys echo "" > /root/.ssh/authorized_keys
最后修改回来被病毒修改的文件
mv /usr/bin/wge /usr/bin/wget mv /usr/bin/cur /usr/bin/curl
该病毒是因为redis的配置文件问题,不严谨导致被钻了空子开放了其余端口,基于这个可以打开防火墙,只开放某些需要的端口
内容总结
以上是互联网集市为您收集整理的解决linux挖矿病毒(kdevtmpfsi,sysupdate, networkservice)全部内容,希望文章能够帮你解决解决linux挖矿病毒(kdevtmpfsi,sysupdate, networkservice)所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。