突然发现公司测试服务器CPU过高,是这两个sysupdate, networkservice进程,很明显是被挖矿了,记录下来以供参考。
病毒会把一些文件给加i锁或a锁,导致无法修改数据,所以某些操作需要清除锁
这个是kdevtmpfsi的守护进程,把它kill掉,然后kill掉kdevtmpfsi,然后删文件.
ps -aux | grep kinsing
[root@localhost tmp]# ps -aux | grep kinsing root 11459 0.0 0.0 112812 968 pts/0 S+ 11:57 0:00 grep --color=auto kinsing root 26969 0.0 0.2 718976 33056 ? Sl 05:43 0:01 ./kinsingwtCDqh7M9U
一般这个病毒会修改定时任务,如果被入侵的haul,要清楚定时任务,没有的话就算了
chattr -ai /var/spool/cron chattr -ai /var/spool/cron/root crontab -r
lsattr 查看
chattr -i 去除i锁
chattr +i 加i锁
sysupdate,networkservice以及一些伴生文件sysguard、update.sh,config.json都在/etc/下,同样的,除锁,删文件
chattr -i /etc/networkservice rm -rf /etc/networkservice chattr -i /etc/sysupdate rm -rf /etc/sysupdate chattr -i /etc/sysguard rm -rf /etc/sysguard chattr -i /etc/update.sh rm -rf /etc/update.sh chattr -i /etc/config.json rm -rf /etc/config.json
然后干掉进程
利用top就能看到networkservice,sysupdate的PID
kill -9 PID号 PID号 PID号
在/tmp下有一个kdevtmpfsi,这个也是病毒带来的
chattr -i /tmp/kdevtmpfsi rm -rf /tmp/kdevtmpfsi
顺便清除掉 .ssh/authorized_keys内陌生的主机,因为没有设置这个,就直接清空了
chattr -i /root/.ssh/authorized_keys echo "" > /root/.ssh/authorized_keys
最后修改回来被病毒修改的文件
mv /usr/bin/wge /usr/bin/wget mv /usr/bin/cur /usr/bin/curl
该病毒是因为redis的配置文件问题,不严谨导致被钻了空子开放了其余端口,基于这个可以打开防火墙,只开放某些需要的端口
尤其是限制6379端口的访问来源,或者在redis配置文件里限制访问来源