Linux被kdevtmpfsi挖礦病毒入侵
一. 錯誤信息
先上阿里雲上的報警信息。有個最大的問題是:top命令查看自己服務器CPU運行情況,會發現kdevtmpfsi的進程,CPU使用率爲100%,第一次刪除乾淨了kdevtmpfsi程序,沒曾想幾分鐘以後,就出現了第二個警告。使用netstat -antp命令查看端口使用情況,又出現了kdevtmpfsi如圖三所示
netstat -antp
二.解決問題
一般出現kdevtmpfsi病毒都會伴有定時任務,就會出現我上面說的處理一次後,又會繼續出現,反反覆覆處理不乾淨。
1.首先停掉kdevtmpfsi的程序
ps aux
找到kdevtmpfsi的進程
刪除掉與kdevtmpfsi相關的進程
kill -9 20267
kill -9 20367
2.刪除Linux下的異常定時任務
(刪除指定的定時任務:https://blog.csdn.net/qq_26975307/article/details/105288693)
crontab -l 查看定時任務
crontab -r 表示刪除用戶的定時任務,當執行此命令後,所有用戶下面的定時任務會被刪除
3.結束kdevtmpfsi進程及端口占用
netstat -antp
找到kdevtmpfsi端口 我這裏是28244 一中第三張圖可以看到。不要直接殺掉,因爲有守護線程還會重啓。
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
kill -9 28244
kill -9 28829
4.刪除掉kdevtmpfsi的相關文件
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing
最後自己可以再檢查一下是否還有kdevtmpfsi的相關文件,有的話就繼續刪除
find / -name kdevtmpfsi
find / -name kinsing
三.怎麼預防處理這個病毒
最根本的原因是自己的redis 6379配置不當導致的。大家可以參考阿里雲的Redis服務安全加固
阿里Redis服務安全加固
如有錯誤,還望指正