周六公司小程序的生产服务挂掉了,当时就重启了服务并未多想,今天早上上班排查了一下问题就发现 kdevtmpfsi 挖矿病毒导致服务器的 CPU 占用率为百分百。当时就按照阿里云的文章开始解决问题。发现无论怎么删除 kdevtmpfsi 和 kinsing 服务都会被重新挂起。crontab 删除了远程执行,还是会重新写入。服务器只开了 80 、443 和 22 三个端口,数据库和 redis 都是采买的亚马逊的,本地有个测试的 redis ,只用来本地连接没用设置密码。请问如何干净彻底的杀毒?
This topic created in 935 days ago, the information mentioned may be changed or developed.
15 replies • 2023-11-08 11:16:01 +08:00
 |
1
defunct9 Nov 6, 2023
开 ssh ,让我上去看看
|
 |
2
ondeay Nov 6, 2023
除了 crontab ,还有开机自启服务目录,system 服务目录,i 属性的挖矿脚本都要删除
|
 |
3
darrh00 Nov 6, 2023 via iPhone
我也可以上去看看
|
 |
4
proxytoworld Nov 6, 2023
看服务日志、ssh 日志,看从哪爆破或者利用漏洞进去服务器的,这种一般都会运行一段 sh 脚本,看看能不能拿到原始的脚本,看他持久化怎么做的
|
|
5
proxytoworld Nov 6, 2023
如果是 root 权限,还要注意有没有安装 r0 的 rootkit
|
 |
6
cslive Nov 6, 2023
重装系统,redis 不设置密码等着下次被攻击
|
 |
7
whileFalse Nov 6, 2023 via Android
把机器删了重建
|
 |
9
yumusb Nov 6, 2023
开 ssh ,让我上去看看
|
 |
10
YaakovZiv Nov 6, 2023
安全组和虚拟防火墙是不是允许出流量全部了。我见过阻塞了大部分进流量,还是可以被攻击的情况,云主机主动访问一台肉鸡重复感染。
|
 |
11
dode Nov 6, 2023
备份数据,重装系统,调查漏洞
|
 |
12
MIUIOS Nov 6, 2023
《开 ssh ,让我上去看看》
|
 |
13
mingwiki Nov 7, 2023
这个病毒我遇到过好几次了,手动可以清除。我 PHP 中一次,postgres 中一次。先把 crontab 清理了,然后 killall kill -9 , 各个目录找一找删一删就行了,主要是要关闭端口。只有 80 、443 和 22 三个端口不可能中这个病毒,可能还有别的端口开着。
|
 |
14
chirsgod OP @proxytoworld #4 好的好的,目前是弄了个脚本每分钟定期删一波文件
|
Select Language