03 02 2021

腾讯云之前发来过警告说服务器被攻击了,当时是在tmp目录下,有一个文件无法删除,chmod 777 修改文件都没有办法,还好那个时候没有安装什么东西,于是就重装了,最近跑了一个docker服务,发现每次都会无缘无故多出两个镜像,一个是ubuntu,一个是其他的,后来每次自己的镜像总会消失,并且CPU占用率就居然有90%。。 发现是一个kdevtmpfsi进程,通过Google发现是一个挖矿病毒。。

解决方案

  1. 使用top命令,查看那个程序占用率CPU最高,一般是50%或者90%,接着使用kill -9 PID 杀掉这个进程,但是还会回来,是因为写了定时任务。
  2. 接着使用find / -name kdevtmpfsi和find / -name kinsing,找到这些文件,并且删除,这里有一个坑的地方在于,可能根本删不掉,就算是root权限都不行,可以使用chattr工具。
  3. crontab -l查看定时任务,如果这里有权限的话,就可以crontab -e把定时任务删除。

防护措施

主要原因还是因为对docker不熟悉,刚刚接触上手,这个病毒主要是通过扫描docker端口2375,可以在docker.service,把-H 0.0.0.0:2375改了,或者是在云服务器中的安全组里面关闭端口,同时修改ssh端口。


延伸阅读
  1. DxoMark公布苹果iPhone12 Pro Max前置镜...
  2. realme骁龙888旗舰即将登场:副总裁发布...
  3. 如何解决phpmyadmin在宝塔面板里进不去的...
  4. 最新宝塔7.x高级破解版脚本 全部插件免费
发表评论