AWS 云服务器被挖矿病毒 kdevtmpfsi 攻击了该怎么办?
chirsgod 2023-11-06 17:40:13 +08:00 2179 次点击这是一个创建于 795 天前的主题,其中的信息可能已经有所发展或是发生改变。
周六公司小程序的生产服务挂掉了,当时就重启了服务并未多想,今天早上上班排查了一下问题就发现 kdevtmpfsi 挖矿病毒导致服务器的 CPU 占用率为百分百。当时就按照阿里云的文章开始解决问题。发现无论怎么删除 kdevtmpfsi 和 kinsing 服务都会被重新挂起。crontab 删除了远程执行,还是会重新写入。服务器只开了 80 、443 和 22 三个端口,数据库和 redis 都是采买的亚马逊的,本地有个测试的 redis ,只用来本地连接没用设置密码。请问如何干净彻底的杀毒?
15 条回复 2023-11-08 11:16:01 +08:00
 | 1 defunct9 2023-11-06 17:56:09 +08:00 开 ssh ,让我上去看看 |
 | 2 ondeay 2023-11-06 18:02:15 +08:00 除了 crontab ,还有开机自启服务目录,system 服务目录,i 属性的挖矿脚本都要删除 |
 | 3 darrh00 2023-11-06 18:02:51 +08:00 via iPhone 我也可以上去看看 |
 | 4 proxytoworld 2023-11-06 18:07:26 +08:00 看服务日志、ssh 日志,看从哪爆破或者利用漏洞进去服务器的,这种一般都会运行一段 sh 脚本,看看能不能拿到原始的脚本,看他持久化怎么做的 |
| 5 proxytoworld 2023-11-06 18:07:57 +08:00 如果是 root 权限,还要注意有没有安装 r0 的 rootkit |
 | 6 cslive 2023-11-06 18:45:59 +08:00 重装系统,redis 不设置密码等着下次被攻击 |
 | 7 whileFalse 2023-11-06 18:47:54 +08:00 via Android 把机器删了重建 |
 | 9 yumusb 2023-11-06 19:00:07 +08:00 开 ssh ,让我上去看看 |
 | 10 YaakovZiv 2023-11-06 19:36:01 +08:00 安全组和虚拟防火墙是不是允许出流量全部了。我见过阻塞了大部分进流量,还是可以被攻击的情况,云主机主动访问一台肉鸡重复感染。 |
 | 11 dode 2023-11-06 19:42:44 +08:00 备份数据,重装系统,调查漏洞 |
 | 12 MIUIOS 2023-11-06 19:45:43 +08:00 《开 ssh ,让我上去看看》 |
 | 13 mingwiki 2023-11-07 12:43:26 +08:00 这个病毒我遇到过好几次了,手动可以清除。我 PHP 中一次,postgres 中一次。先把 crontab 清理了,然后 killall kill -9 , 各个目录找一找删一删就行了,主要是要关闭端口。只有 80 、443 和 22 三个端口不可能中这个病毒,可能还有别的端口开着。 |
 | 14 chirsgod OP @proxytoworld #4 好的好的,目前是弄了个脚本每分钟定期删一波文件 |
Select Language