当前位置：网站首页>服务器中挖矿病毒了，屮

服务器中挖矿病毒了，屮

2022-04-23 13:42:00 【菜鸟猫喵喵】

用top命令查看，这俩挖矿病毒，真屮了。
这俩我解决途径一样，举一个例子说吧。

ps -ef | grep kdevtmpfsi

sudo kill -9 [PID]

可以通过 sudo crontab -l 查看是否有可疑的计划任务。

systemctl status [病毒PID]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 $(img-ujJmM3q4-1650554012207)(C:\Users\14470\Desktop\新建文本文档.assets\image-20220421222135428.png)]$

sudo kill -9 30409 30985

一般都是在tmp目录下

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WOjXqpyF-1650554012208)(C:\Users\14470\Desktop\新建文本文档.assets\image-20220421222539667.png)]$

可以看到kdevtmpfsi，这俩病毒文件

果断删除：

sudo rm kdevtmpfsi

在 /tmp目录下看以看到：

在这里插入图片描述

这些也全部删除

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BMTkVjlR-1650554012210)(C:\Users\14470\Desktop\新建文本文档.assets\image-20220421223641155.png)]$

删除！

没有就可以了
现在cpu已经降下去了。

在这里插入图片描述

通过 find / -name "*kdevtmpfsi*" 命令搜索是否还有 kdevtmpfsi 文件
查看 Linux ssh 登陆审计日志。Centos 与 RedHat 审计日志路径为 /var/log/secure，Ubuntu 与 Debian 审计日志路径为 /var/log/auth.log。
检查 crontab 计划任务是否有可疑任务

启用ssh公钥登陆，禁用密码登陆。
云主机：完善安全策略，入口流量，一般只开放 80 443 端口就行，出口流量默认可以不限制，如果有需要根据需求来限制。物理机：可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。
本机不是直接需要对外提供服务，可以拒绝外网卡入口所有流量，通过 jumper 机器内网登陆业务机器。