AWS 云服务器被挖矿病毒 kdevtmpfsi 攻击了该怎么办?
chirsgod · 2023-11-06 17:40:13 +08:00 · 1489 次点击这是一个创建于 374 天前的主题,其中的信息可能已经有所发展或是发生改变。
周六公司小程序的生产服务挂掉了,当时就重启了服务并未多想,今天早上上班排查了一下问题就发现 kdevtmpfsi 挖矿病毒导致服务器的 CPU 占用率为百分百。当时就按照阿里云的文章开始解决问题。发现无论怎么删除 kdevtmpfsi 和 kinsing 服务都会被重新挂起。crontab 删除了远程执行,还是会重新写入。服务器只开了 80 、443 和 22 三个端口,数据库和 redis 都是采买的亚马逊的,本地有个测试的 redis ,只用来本地连接没用设置密码。请问如何干净彻底的杀毒?
15 条回复 • 2023-11-08 11:16:01 +08:00
 |
1
defunct9 2023-11-06 17:56:09 +08:00
开 ssh ,让我上去看看
|
 |
2
ondeay 2023-11-06 18:02:15 +08:00
除了 crontab ,还有开机自启服务目录,system 服务目录,i 属性的挖矿脚本都要删除
|
 |
3
darrh00 2023-11-06 18:02:51 +08:00 via iPhone
我也可以上去看看
|
 |
4
proxytoworld 2023-11-06 18:07:26 +08:00
看服务日志、ssh 日志,看从哪爆破或者利用漏洞进去服务器的,这种一般都会运行一段 sh 脚本,看看能不能拿到原始的脚本,看他持久化怎么做的
|
|
5
proxytoworld 2023-11-06 18:07:57 +08:00
如果是 root 权限,还要注意有没有安装 r0 的 rootkit
|
 |
6
cslive 2023-11-06 18:45:59 +08:00
重装系统,redis 不设置密码等着下次被攻击
|
 |
7
whileFalse 2023-11-06 18:47:54 +08:00 via Android
把机器删了重建
|
 |
9
yumusb 2023-11-06 19:00:07 +08:00
开 ssh ,让我上去看看
|
 |
10
YaakovZiv 2023-11-06 19:36:01 +08:00
安全组和虚拟防火墙是不是允许出流量全部了。我见过阻塞了大部分进流量,还是可以被攻击的情况,云主机主动访问一台肉鸡重复感染。
|
 |
11
dode 2023-11-06 19:42:44 +08:00
备份数据,重装系统,调查漏洞
|
 |
12
totoro52 2023-11-06 19:45:43 +08:00
《开 ssh ,让我上去看看》
|
 |
13
mingwiki 2023-11-07 12:43:26 +08:00
这个病毒我遇到过好几次了,手动可以清除。我 PHP 中一次,postgres 中一次。先把 crontab 清理了,然后 killall kill -9 , 各个目录找一找删一删就行了,主要是要关闭端口。只有 80 、443 和 22 三个端口不可能中这个病毒,可能还有别的端口开着。
|
 |
14
chirsgod OP @proxytoworld #4 好的好的,目前是弄了个脚本每分钟定期删一波文件
|
Select Language