Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
问题描述
Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源;
并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活;
同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程;
找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时间又会出现。
问题根源
服务器安装的redis镜像有问题,被植入kdevtmpfsi挖矿程序。
redis未设置密码、或者密码过于简单
服务器被植入定时任务:下载病毒程序、并唤起,及进程存活监测
1.治本方法
更换redis镜像
redis设置安全性高的密码
检查定时任务crontab -l,如有必要cat or vim 进入脚本,确认自家脚本没有串改
没有用到的端口,不要开放
可不做查出外部植入的定时程序,访问哪个ip下载病毒程序,将其拉黑
2.治标方法、稳定有效
编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh;
1:ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9
2:ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9
3:rm -f /var/tmp/kinsing
4:rm -f /tmp/kdevtmpfsi
新增定时任务;
*/1 * * * * /tmp/kill_kdevtmpfsi.sh
top -d 5观察,解决
————————————————
上一篇:无