小主姬挖矿病毒 kdevtmpfsi 的处理和后续处理
是什么卡了我的服务器?
一早起来服务器崩了,网页打不开。离谱。
远程ssh登录,终端输入:
top
,看到:kdevtmpfsi 这个进程占了两个核,好家伙。
kill kdevtmpfsi
一秒之后发现重启了,有趣
病毒寻找
首先 systemctl status kdevtmpfsi 发现了是kinsing这个进程唤醒了它。
我们需要这样做:
(1)删掉 kdevtmpfsi 和kinsing 对应文件。
(2)删掉它们对应的「定时任务」
找的时候发现,原来是挖的 c3pool 和 moneroocean 。百度一下发现是两个矿哦,离谱。。
https://my.oschina.net/u/4437985/blog/3168526
find / -name "*miner*"
find / -name "*c3pool*"
find / -name "*moneroocean*"find / -name "*kdevtmpfsi*"find / -name "*kinsing*"https://segmentfault.com/a/1190000038390745
找到删掉。
存在定时任务的不一定是当前用户,可以使用以下命令查找其他用户是否存在任务:
$ for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done
定时任务还可能存在于以下地方:
/etc/crontab/var/spool/cron//var/spool/cron/crontabs/找到删掉。
之后重新: kill kinsing kill kdevtmpfsi 不重启了,ok。
服务器查看ssh登录历史
https://blog.csdn.net/weixin_30475039/article/details/99331708
终端输入:
cd /var/log
less secure
这里用:G 来跳到最后,之后用 /Invalid user 搜索发现了一堆登录不成功的。豁,应该是服务器地址被人发现了之后拿公开库撞了。离谱。
后续:
ssh公钥登录,直接禁用密码登录。
