记一次服务器被植入木马/病毒:kdevtmpfsi
关于kdevtmpfsi的解决有不少博文已给出了详细的解决方法,本文不赘述
服务器的服务主要运行在docker中,所以解决比较容易,仅记录下本次的过程
服务器告警
今天(2020-07-26)中午12:50左右,手机微信收到了腾讯云的安全告警通知,说是服务器检测到木马文件,于是登陆腾讯云看了下
尝试处理
百度了一下kdevtmpfsi,发现是一个挖矿病毒,而且受害者还不少,通常会占用高额的CPU、内存资源,但是我奇怪的是,我查了服务器监控,仅仅是受到攻击的几分钟内CPU使用率有大概10%的上涨而已,并没有网上博文说的那么严重
然后也去查了下系统进程
ps -aux | grep kdevtmpfsi
ps -aux | grep kinsing
说明一下,kinsing是kdevtmpfsi的守护进程,然后发现有几十条kdevtmpfsi的进程,还有一条kinsing进程,看起来有点麻烦捏
后来看到这篇文章,写出了问题根源:
服务器安装的redis镜像有问题,被植入kdevtmpfsi挖矿程序。
redis未设置密码、或者密码过于简单
服务器被植入定时任务:下载病毒程序、并唤起,及进程存活监测
然后我想起了我的redis是跑在docker中的,再加上腾讯云告警的路径:
/var/lib/docker/xxxxxx
嗯,那可能是我在docker中跑的redis被攻击并植入了木马,而木马此时也是运行在redis容器中,也就是说只是跑在内存里并没有实体文件,那么我重启一下redis容器是不是就可以了?
解决问题
为了验证我的假设,我docker重启了redis容器,然后再ps查看进程,这个时候已经没有了kdevtmpfsi的相关进程出现了,red2.so也是和redis相关的病毒,也一并解决了,看来我前面的想法是对的
疑问
原因已经知道了,问题也解决了,但是现在又出现了个新的疑问,理论上docker中跑的容器是和物理环境隔开的,不应该影响到docker之外的环境,但是我能够在服务器中看到容器中的木马进程,这就有点奇怪了,不知有没有大佬能解释下~
记一次服务器被植入木马/病毒:kdevtmpfsi相关推荐
- 云服务器ECS挖矿木马病毒处理和解决方案
云服务器ECS挖矿木马病毒处理和解决方案 参考文章: (1)云服务器ECS挖矿木马病毒处理和解决方案 (2)https://www.cnblogs.com/owenma/p/10430599.html ...
- linux服务器被植入挖矿病毒后初步解决方案
linux服务器被植入挖矿病毒是真让人无语,密码也被暴力破解,还时不时挖矿重启. 只能上网搜索,初步解决方案如下: 一.定位攻击服务器的ip 首先root,然后进~/.cache,使用netstat ...
- 记一次服务器被挖矿木马攻击的经历
背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为"imWBR1"的进程,查了一 ...
- 网页java挂挖矿_记一次服务器被植入挖矿脚本的解决过程
记一次服务器被植入挖矿脚本的解决过程 删除挖矿脚本和对应的进程 找出并删除对应挖矿脚本文件 找出进程pid,并且kill掉 无法kill掉的是原进程的守护进程,原进程不在它也会自动关闭,所以不用管它 ...
- net start mysql 服务名无效_记一次服务器被植入挖矿木马cpu飙升200%解决过程
来自:开源中国,作者:我叫刘半仙 链接:https://my.oschina.net/liughDevelop/blog/1786631 " 某日,正在午休中,突然一则噩耗从前线传来:网站 ...
- 记一次服务器清除挖矿木马操作记录
突然接到服务器告警,一台服务器的CPU已经达到了3000%,不用想,肯定是中了木马了,这完全论为了矿机了.问了一堆公司的安全砖家,都说没的救了,需要重新做系统了,但是和开发对接了下,这台服务器上存在众 ...
- tomcat 多人登录cpu占用过多_服务器被植入木马,CPU飙升200%
作者:我叫刘半仙 https://my.oschina.net/liughDevelop/blog/1786631 线上服务器用的是某云的,欢快的完美运行着Tomcat,MySQL,MongoDB,A ...
- supsplk 服务器被植入木马 挖矿 cpu使用 700%
最近emr集群跑任务的时候总出现 task failed ,优化sql,调提交任务参数都没解决,最后再我排查时候,发现一个从节点的cpu使用800% 经过一些列排查,发现是被注入木马了, #被人种下的 ...
- 深信服安全团队详解网络钓鱼植入木马病毒的全过程
背景概述 近日,深信服终端安全研究团队中捕获到了一个木马程序,攻击者通过网络钓鱼的手段诱导受害者点击运行邮件中附带的木马程序,结合正常的Adobe CEF Helper程序进行攻击:在局域网内通过共享 ...
最新文章
- 算法(掘金上经典的文档)
- 无法启动程序,因为计算机中丢失msvcp.dll
- 全血微量元素团标今起实施 李喜贵:两项标准填补国内外空白
- MATLAB数据分析
- 关于RDLC使用导出PDF文件时,中文乱码解决方案
- 徒手撸框架--高并发环境下的请求合并
- PHP和tp5—使用过得函数总结
- Python运行Google App Engineer时出现的UnicodeDecodeError错误解决方案
- git 暂存文件操作 stash
- 2021年电视盒子推荐指南 电视盒子选购以及常见问题
- lvgl v8之Styling the scrollbars
- 【RFC6405 IP 电话 (VoIP) SIP 对等互连用例 VoIP SIP Peering Use Cases】(翻译)
- Linux学生QT成绩查询系统大作业报告,GitHub - cxc1357/Student-Information-Manage-System: QT实现的学生信息管理系统,高程大作业...
- 1455: 罗马游戏
- 适合医院、诊所、乡镇卫生院使用的门诊管理系统
- android抖音loading动画,高仿抖音视频加载动画
- MATLAB 复杂网络聚类系数代码
- html菜单箭头,html – 纯CSS选择菜单/下拉菜单:如何制作右箭头功能?
- Unity编程 欧拉角与万向节死锁(图文版)
- mac u盘只读怎么修改_解决Mac U盘不能写入问题