第1个回答 2022-11-13
挖矿病毒处理步骤如下:
1、查看服务器进程运行状态查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。
2、查看端口及外联情况查看端口开放状态及外联情况,发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址,进一步确定该进程为恶意挖矿进程:定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。
还存在守护进程kinsing,该进程会不断重启挖矿shell脚本,所以必须将主进程和守护进程一起消灭。因此需要对进程kinsing进行定位。查看主进程kdevtmpfsi的PID:
5、Redis服务排查通过端口开放情况发现6379端口及22端口正常开放。查看redis配置文件,发现未设置登陆密码,任意用户均可成功连接。
6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。
7、查找敏感文件发现authorized_keys文件。
8、查看ssh日志文件查看ssh日志文件,发现大量登陆痕迹以及公钥上传痕迹。
相似回答