症狀表現
服務器CPU資源使用一直處於100%的狀態,經過 top 命令查看,發現可疑進程 kdevtmpfsi。經過 google搜索,發現這是挖礦病毒。安全
排查方法
首先:查看 kdevtmpfsi 進程,使用 ps -ef | grep kdevtmpfsi 命令查看,見下圖。服務器
PS: 經過
ps -ef命令查出kdevtmpfsi進程號,直接 kill -9 進程號並刪除 /tmp/kdevtmpfsi 執行文件。但沒有過1分鐘進程又運行了,這時就能想到,kdevtmpfsi有守護程序或者有計劃任務。經過crontab -l查看是否有可疑的計劃任務。ssh
第二步:根據上面結果知道 kdevtmpfsi 進程號是 10393,使用 systemctl status 10393 發現 kdevtmpfsi 有守護進程,見下圖。google
第三步:kill 掉 kdevtmpfsi 守護進程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖礦病毒,最後刪除 kdevtmpfsi 執行程序 rm -f /tmp/kdevtmpfsi。日誌
過後檢查
- 經過
find / -name "*kdevtmpfsi*"命令搜索是否還有 kdevtmpfsi 文件 - 查看 Linux ssh 登錄審計日誌。
Centos與RedHat審計日誌路徑爲/var/log/secure,Ubuntu與Debian審計日誌路徑爲/var/log/auth.log。 - 檢查 crontab 計劃任務是否有可疑任務
後期防禦
- 啓用
ssh公鑰登錄,禁用密碼登錄。 雲主機:完善安全策略,入口流量,通常只開放 80 443 端口就行,出口流量默承認以不限制,若是有須要根據需求來限制。物理機:能夠經過硬件防火牆或者機器上iptables來開放出入口流量規則。- 本機不是直接須要對外提供服務,能夠拒絕外網卡入口全部流量,經過
jumper機器內網登錄業務機器。 - 公司有能力能夠搭建安全掃描服務,按期檢查機器上漏洞並修復。
小結:以上例舉幾點措施,不全。這裏只是拋磚引玉的效果,更多的措施須要結合本身業務實際狀況,不然就空中樓閣。code
本文由 YP小站 發佈!blog