情况说明:挖矿进程被隐藏(CPU占用50%,htop/top
却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l
查看发现没有定时任务)。
注:由于此博客是在处理完之后所写,因此相应的图片没有截取,但是如果上述情况一致的话,按照下述流程操作应该会对你有所帮助。
服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。中毒表现有如下几点:
top
或者htop
查看系统内存占用情况)。netstat -natp
发现有异常IP地址。在发现中了挖矿病毒后,一定要首先断网并修改root密码!!!
这里利用两个工具【sysdig】和【unhide】来搜寻被隐藏的进程。
# 安装 sysdig
sudo apt install sysdig
# 安装 unhide
sudo apt install unhide
# 输出cpu占用的排行,可以显示出隐藏的进程
sudo sysdig -c topprocs_cpu
# 搜索隐藏进程,proc目录下保存的是所有正在运行程序的进程ID,即PID
sudo unhide proc
这时就找到了挖矿病毒的PID,但是直接kill -9 PID
杀死进程后就会发现不到1分钟的时间,就会有一个新的挖矿进程出现,因此这个挖矿进程肯定是被什么服务所启动的,接下来我们便需要找到这个服务并将其关闭。
通过上面unhide proc
发现的隐藏进程,利用systemctl status PID
来检查 systemd 管理的服务或者进程状态,来看一下该病毒到底是如何被启动的。
systemctl status 3084 # 3084为病毒的PID
查看输出的CGroup段信息,可以看到一个后缀为.service
的服务,该服务就是病毒的启动服务。
# 终止病毒启动服务
systemctl stop xxxxX.service
# 终止挖矿服务的开机自启
systemctl disable xxxxX.service
在关闭了挖矿病毒的启动服务之后,现在就可以将挖矿进程kill了。kill之后,CPU恢复正常,并且也没有了隐藏进程。
kill -9 PID
# 通过 netstat -natp 显示网络相关信息,查看是否存在异常IP
netstat -natp
将查到的异常IP直接在百度中输入就可以看到该IP的一些信息。
利用防火墙 iptables 对异常IP进行封禁。
# 对异常IP封禁
sudo iptables -I INPUT -s IP -j DROP
# 检查是否已经成功添加
iptables -L INPUT -v -n
默认情况下,通过 iptables
添加的规则在系统重启后会丢失。如果希望规则在重启后依然有效,需要将规则保存到配置文件中。可以使用 iptables-persistent
工具来实现。
# 安装iptables-persistent
sudo apt-get install iptables-persistent
# 将规则保存到配置文件
sudo netfilter-persistent save
# 设置为开机自启
systemctl enable iptables
# 打开服务
systemctl start iptables
cat ~/.ssh/authorized_keys
如果有陌生公钥立即删掉。
在刚开始查看了网上很多的资料,试着用了这个命令ps -ef | grep kdevtmpfsi
,来看自己服务器是不是中了 kdevtmpfsi 病毒,然后发现每次只显示一个有关 kdevtmpfsi 的进程,而且每次都会变化。我竟然认为是病毒太强了,每次都会变化进程ID,真被自己蠢哭了😭😭😭。后来知道每次的那一行输出是grep kdevtmpfsi
命令本身的进程,由于grep
正在查找字符串 kdevtmpfsi,它自身的进程也匹配这个查找条件,所以它出现在输出中。
ps -ef | grep kdevtmpfsi
命令解释:列出所有正在运行的进程,并在这些进程中查找名称或命令行中包含 kdevtmpfsi
的进程,显示这些进程的信息。
ps
是一个显示当前运行进程的命令。-e
选项显示所有进程。-f
选项显示完整格式的输出,包括进程的 PID、父进程的 PID、启动时间、TTY、累计 CPU 时间、命令等。|
用于将前一个命令的输出作为下一个命令的输入。grep
是一个搜索工具,用于在输入中查找符合特定模式的行。kdevtmpfsi
是 grep
要查找的模式。在这种情况下,它是在所有进程输出中查找包含 kdevtmpfsi
的行。😃😃😃