V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chirsgod
V2EX  ›  Amazon Web Services

AWS 云服务器被挖矿病毒 kdevtmpfsi 攻击了该怎么办?

  •  
  •   chirsgod · 2023-11-06 17:40:13 +08:00 · 1509 次点击
    这是一个创建于 386 天前的主题,其中的信息可能已经有所发展或是发生改变。

    周六公司小程序的生产服务挂掉了,当时就重启了服务并未多想,今天早上上班排查了一下问题就发现 kdevtmpfsi 挖矿病毒导致服务器的 CPU 占用率为百分百。当时就按照阿里云的文章开始解决问题。发现无论怎么删除 kdevtmpfsi 和 kinsing 服务都会被重新挂起。crontab 删除了远程执行,还是会重新写入。服务器只开了 80 、443 和 22 三个端口,数据库和 redis 都是采买的亚马逊的,本地有个测试的 redis ,只用来本地连接没用设置密码。请问如何干净彻底的杀毒?

    15 条回复    2023-11-08 11:16:01 +08:00
    defunct9
        1
    defunct9  
       2023-11-06 17:56:09 +08:00
    开 ssh ,让我上去看看
    ondeay
        2
    ondeay  
       2023-11-06 18:02:15 +08:00
    除了 crontab ,还有开机自启服务目录,system 服务目录,i 属性的挖矿脚本都要删除
    darrh00
        3
    darrh00  
       2023-11-06 18:02:51 +08:00 via iPhone
    我也可以上去看看
    proxytoworld
        4
    proxytoworld  
       2023-11-06 18:07:26 +08:00
    看服务日志、ssh 日志,看从哪爆破或者利用漏洞进去服务器的,这种一般都会运行一段 sh 脚本,看看能不能拿到原始的脚本,看他持久化怎么做的
    proxytoworld
        5
    proxytoworld  
       2023-11-06 18:07:57 +08:00
    如果是 root 权限,还要注意有没有安装 r0 的 rootkit
    cslive
        6
    cslive  
       2023-11-06 18:45:59 +08:00
    重装系统,redis 不设置密码等着下次被攻击
    whileFalse
        7
    whileFalse  
       2023-11-06 18:47:54 +08:00 via Android
    把机器删了重建
    yumusb
        9
    yumusb  
       2023-11-06 19:00:07 +08:00
    开 ssh ,让我上去看看
    YaakovZiv
        10
    YaakovZiv  
       2023-11-06 19:36:01 +08:00
    安全组和虚拟防火墙是不是允许出流量全部了。我见过阻塞了大部分进流量,还是可以被攻击的情况,云主机主动访问一台肉鸡重复感染。
    dode
        11
    dode  
       2023-11-06 19:42:44 +08:00
    备份数据,重装系统,调查漏洞
    totoro52
        12
    totoro52  
       2023-11-06 19:45:43 +08:00
    《开 ssh ,让我上去看看》
    mingwiki
        13
    mingwiki  
       2023-11-07 12:43:26 +08:00
    这个病毒我遇到过好几次了,手动可以清除。我 PHP 中一次,postgres 中一次。先把 crontab 清理了,然后 killall kill -9 , 各个目录找一找删一删就行了,主要是要关闭端口。只有 80 、443 和 22 三个端口不可能中这个病毒,可能还有别的端口开着。
    chirsgod
        14
    chirsgod  
    OP
       2023-11-08 11:15:41 +08:00
    @proxytoworld #4 好的好的,目前是弄了个脚本每分钟定期删一波文件
    chirsgod
        15
    chirsgod  
    OP
       2023-11-08 11:16:01 +08:00
    @retanoj 目前已经把本地的 redis 给停掉了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6013 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 43ms · UTC 06:15 · PVG 14:15 · LAX 22:15 · JFK 01:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.