用top命令查看 , 这俩挖矿病毒,真屮了。
这俩我解决途径一样,举一个例子说吧。
ps -ef | grep kdevtmpfsi删除 进程
sudo kill -9 [PID]
病毒一会就重启了,看它的守护进程可以通过 sudo crontab -l 查看是否有可疑的计划任务。
systemctl status [病毒PID]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
删除病毒守护进程sudo kill -9 30409 30985删除 可疑文件’
一般都是在tmp目录下
可以看到kdevtmpfsi,这俩病毒文件
果断删除:
sudo rm kdevtmpfsi
在 /tmp目录下看以看到:
这些也全部删除
删除!
- 通过 find / -name "*kdevtmpfsi*" 命令搜索是否还有 kdevtmpfsi 文件
没有就可以了
现在cpu已经降下去了。
- 通过 find / -name "*kdevtmpfsi*" 命令搜索是否还有 kdevtmpfsi 文件
- 查看 Linux ssh 登陆审计日志。Centos 与 RedHat 审计日志路径为 /var/log/secure,Ubuntu 与 Debian 审计日志路径为 /var/log/auth.log。
- 检查 crontab 计划任务是否有可疑任务
- 启用ssh公钥登陆,禁用密码登陆。
- 云主机:完善安全策略,入口流量,一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。物理机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。
- 本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。
- 封禁ip
