症状是服务器CPU资源占用一直处于100%状态,通过top命令发现可疑进程kdevtmpfsi。通过google搜索,发现这是一个挖矿病毒。排错方法一:检查kdevtmpfsi进程,使用ps-ef|grepkdevtmpfsi命令查看,见下图。PS:通过ps-ef命令查出kdevtmpfsi进程号,直接kill-9进程号,删除/tmp/kdevtmpfsi执行文件。但在一分钟内,进程又开始运行了。这时候可以想象kdevtmpfsi有一个daemon或者一个定时任务。使用crontab-l检查可疑的计划任务。Step2:根据上面的结果,我们知道kdevtmpfsi进程号为10393,使用systemctlstatus10393发现kdevtmpfsi有守护进程,如下图所示。第三步:杀死kdevtmpfsi守护进程kill-93090330904,然后killall-9kdevtmpfsi挖病毒,最后删除kdevtmpfsi执行程序rm-f/tmp/kdevtmpfsi。之后查看,使用find/-name"*kdevtmpfsi*"命令搜索kdevtmpfsi文件,查看Linuxssh登录审计日志。Centos和RedHat审计日志路径为/var/log/secure,Ubuntu和Debian审计日志路径为/var/log/auth.log。检查crontab定时任务是否有可疑任务后保护启用ssh公钥登录,禁用密码登录。云主机:完善安全策略,一般只对入口流量开放80443端口,出口流量默认可以无限制,必要时根据需求限制。物理机:可以通过硬件防火墙或机器上的iptables开启入口和出口流量规则。本机不需要直接对外提供服务。可以拒绝所有来自外网卡入口的流量,通过跳线机的内网登录业务机。公司有能力建立安全扫描服务,定期检查机器上的漏洞并进行修复。总结:上面列出的措施并不详尽。这只是抛砖引玉的效果。更多的措施需要结合自身业务的实际情况,否则就是空中楼阁。本文由YP小站发表!
