服務(wù)器被攻擊并植入kdevtmpfsi挖礦/病毒/木馬

挖礦病毒處理步驟如下：查看服務(wù)器進(jìn)程運(yùn)行狀態(tài)查看服務(wù)器系統(tǒng)整體運(yùn)行情況，發(fā)現(xiàn)名為kdevtmpfsi的挖礦進(jìn)程大量占用系統(tǒng)CPU使用率。查看端口及外聯(lián)情況查看端口開放狀態(tài)及外聯(lián)情況，發(fā)現(xiàn)主機(jī)存在陌生外聯(lián)行為。

河?xùn)|網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián)建站,河?xùn)|網(wǎng)站設(shè)計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為河?xùn)|1000+提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設(shè)要多少錢，請找那個售后服務(wù)好的河?xùn)|做網(wǎng)站的公司定做！

被上傳挖礦木馬的？ 防止后期再出現(xiàn)這樣的攻擊狀況。

再依次刪除兩個陌生進(jìn)程；f、登錄AWS控制臺，把ssh端口改掉，22端口封掉；進(jìn)入ssh修改root密碼，設(shè)定只能本地登錄；重啟服務(wù)器；觀察了一天，發(fā)現(xiàn)服務(wù)穩(wěn)定了，系統(tǒng)也正常運(yùn)行了，CPU也正常了。開心。

線上一臺服務(wù)器，CPU高達(dá)90%以上，經(jīng)過top 分析出進(jìn)程kdevtmpfsi kill -9 殺死進(jìn)程無果，很快就會自動恢復(fù) 排查步驟：結(jié)果：病毒被植入到了線上運(yùn)行的某一docker容器內(nèi)。

早上起來繼續(xù)看，這次留意注意了下那兩個占用高cpu的進(jìn)程，kdevtmpfsi 和 networkservice。本著看看是啥進(jìn)程的心態(tài)，百度了下。真相一目了然，兩個挖礦病毒。

云服務(wù)器中挖礦病毒的清除過程(二)

/bin/sysprg創(chuàng)建日期與ntupdate是同一天，文件大小與x86_64相同，無疑也是個病毒文件。

找到進(jìn)程，然后找到他文件路徑，干掉進(jìn)程，刪掉文件。

平時防火墻和sellinux都關(guān)閉的話，服務(wù)器不要暴漏太多無用端口，出現(xiàn)問題應(yīng)該最新通過進(jìn)程名去查找文件的原始位置去分析問題，遇到挖礦病毒也應(yīng)該多注意/etc/init.d下和cron計劃任務(wù)有無異常。

服務(wù)器被檢測出挖礦

1、遇到以上問題，需要先找服務(wù)器商對其說明實際情況，配合他們排查，基本上就是中了挖礦病毒。最簡單的方法就是重裝系統(tǒng)，但是系統(tǒng)盤數(shù)據(jù)都會清空，這種辦法適用于服務(wù)器里沒什么需要備份的文件。

2、利用云電腦的計算資源執(zhí)行挖礦的持續(xù)性程序，已停止是服務(wù)絕大數(shù)都是正常的。這些已停止表示你已經(jīng)禁用或停止了相關(guān)的服務(wù)，但停止不是卸載，所以它們?nèi)匀淮嬖谑钦５模颗_電腦里都有許多已停止的服務(wù)，不用擔(dān)心。

3、下載騰訊電腦管家“5”最新版，對電腦首先進(jìn)行一個體檢，打開所有防火墻避免系統(tǒng)其余文件被感染。打開殺毒頁面開始查殺，切記要打開小紅傘引擎。

當(dāng)前題目：阿里云服務(wù)器被挖礦破壞 阿里云 chia挖礦
文章URL：http://chinadenli.net/article6/dcpccog.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供軟件開發(fā)、微信公眾號、搜索引擎優(yōu)化、用戶體驗、云服務(wù)器、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)