其实这不是第一次遇到kthreaddk病毒了,服务器上经常是删了又删,隔几天又冒出来,无法根绝。这里记录一下几种排查方法和服务器优化方案。
1. 安装运维工具htop,它可以很方便的定位到该进程的关联进程。如果卡死动不了,用top定位也可以。如果top指令用不了,大概率是被篡改了,自行百度下,网上也有这种案例。
htop进入管理界面,按大写的P可以按照CPU使用率从高到低排序,一般最高的那个就是罪魁祸首;随后F5,树形结构展开,发现其关联进程,如果要kill掉,直接找到父进程,按F9再回车,但是咱们先别这么干,如果服务器不是卡的动不了的话。
2. 一般这种病毒比较顽固,会有定时任务不间断执行。
crontab -e 查看并编辑定时任务,删除可疑定时任务,把该文件下载下来后再删掉,留待分析。
3. 定时任务有时手动删了还是没用,说明其有守护进程去监控定时任务的状态。咱们可以用top或者htop去查看可疑进程,比如我一删掉定时任务 crontab -r(删除所有定时任务),top 里就发现有进程的cpu在跳动,重点排查这个进程。
4. 病毒将其纳入了系统服务,这里我不详细说明了,因为我没遇到就没做记录
5. lsof -i查看所有进程的tcp连接信息,发现境外ip的,先记录下来,直接加入黑名单
iptables -A OUTPUT -d "213.226.123.219" -j DROP
6. 如果想追踪的更深入点,strace -tt -p 44168 (44168是进程id),可追踪进程执行时的系统调用和所接收的信号点,然后该删的删
7. 这里差不多清净了点,我们就能稍微升级下服务器的安全性了。
a. 把常用的端口都换一换,比如3306,8080,6379什么的,这些很容易被攻击
b. 能本地访问的就不要暴露到公网,比如mysql,redis尽可能设置成127.0.0.1访问,外网没法接触。
c. 防火墙一定要开起来,别怕麻烦,必须暴露的端口才放开,减少公网入口
d. 禁止root远程登陆,这个很重要,密码也改复杂一些。
目前能想到的就这些,欢迎补充