03
02月
2021
腾讯云之前发来过警告说服务器被攻击了,当时是在tmp目录下,有一个文件无法删除,chmod 777 修改文件都没有办法,还好那个时候没有安装什么东西,于是就重装了,最近跑了一个docker服务,发现每次都会无缘无故多出两个镜像,一个是ubuntu,一个是其他的,后来每次自己的镜像总会消失,并且CPU占用率就居然有90%。。 发现是一个kdevtmpfsi进程,通过Google发现是一个挖矿病毒。。
解决方案
- 使用top命令,查看那个程序占用率CPU最高,一般是50%或者90%,接着使用kill -9 PID 杀掉这个进程,但是还会回来,是因为写了定时任务。
- 接着使用find / -name kdevtmpfsi和find / -name kinsing,找到这些文件,并且删除,这里有一个坑的地方在于,可能根本删不掉,就算是root权限都不行,可以使用chattr工具。
- crontab -l查看定时任务,如果这里有权限的话,就可以crontab -e把定时任务删除。
防护措施
主要原因还是因为对docker不熟悉,刚刚接触上手,这个病毒主要是通过扫描docker端口2375,可以在docker.service,把-H 0.0.0.0:2375改了,或者是在云服务器中的安全组里面关闭端口,同时修改ssh端口。