服務器CPU資源使用一直處於100%的狀態,通過 top 命令查看,發現可疑進程 kdevtmpfsi。通過 google搜索,發現這是挖礦病毒。
排查方法
首先 :查看 kdevtmpfsi 進程,使用 ps -ef | grep kdevtmpfsi 命令查看,見下圖。
PS: 通過 ps -ef 命令查出 kdevtmpfsi 進程號,直接 kill -9 進程號並刪除 /tmp/kdevtmpfsi 執行文件。但沒有過1分鐘進程又運行了,這時就能想到, kdevtmpfsi 有守護程序或者有計劃任務。通過 crontab -l 查看是否有可疑的計劃任務。
第二步 :根據上面結果知道 kdevtmpfsi 進程號是 10393 ,使用 systemctl status 10393 發現 kdevtmpfsi 有守護進程,見下圖。
第三步 :kill 掉 kdevtmpfsi 守護進程 kill -9 30903 30904 ,再 killall -9 kdevtmpfsi 挖礦病毒,最後刪除 kdevtmpfsi 執行程序 rm -f /tmp/kdevtmpfsi 。
事後檢查
- 通過 find / -name "*kdevtmpfsi*" 命令搜索是否還有 kdevtmpfsi 文件
- 查看 Linux ssh 登陸審計日誌。 Centos 與 RedHat 審計日誌路徑為 /var/log/secure , Ubuntu 與 Debian 審計日誌路徑為 /var/log/auth.log 。
- 檢查 crontab 計劃任務是否有可疑任務
後期防護
- 啟用 ssh公鑰登陸 ,禁用密碼登陸。
- 雲主機 :完善安全策略,入口流量,一般只開放 80 443 端口就行,出口流量默認可以不限制,如果有需要根據需求來限制。 物理機 :可以通過 硬件防火牆 或者 機器上iptables 來開放出入口流量規則。
- 本機不是直接需要對外提供服務,可以拒絕外網卡入口所有流量,通過 jumper 機器內網登陸業務機器。
- 公司有能力可以搭建安全掃描服務,定期檢查機器上漏洞並修復。
小結 :以上例舉幾點措施,不全。這裡只是拋磚引玉的效果,更多的措施需要結合自己業務實際情況,否則就空中樓閣。
分享到:
閱讀更多 愛編程的Java碼農 的文章
