如何彻底清除kdevtmpfsir挖矿程序 ?

chwech
  • 458

首先说说我的处理过程:
第一步就是找到可耻的程序文件并且删掉

find / -name kdevtmpfsi
find / -name kinsing
rm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/diff/tmp/kdevtmpfsi
rm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/merged/tmp/kdevtmpfsi
rm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/diff/var/tmp/kinsing
rm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/merged/var/tmp/kinsing

第二步就是检查是否有可疑定时任务
cd/var/spool/cron/目录, 发现没有任何定时任务。

[root@docker-server cron]# ll
total 0

第三步kill掉可耻的挖矿进程。

ps aux | grep kdevtmpfsi
kill -9 9053
ps aux | grep kinsing
kill -9 7587

嗯,经过以上步骤,cpu使用降下来了(原来常年100%),但是过几个小时又反弹了。所以问题还是没有解决。网上文章有说是redis感染的,但是我的服务器没用redis。这个挖矿木马是怎么感染的?如何彻底清除它?救救孩子吧

另通过find找到的木马文件路径有docker字样,是docker的原因吗?

回复
阅读 1.9k
1 个回答

就是docker redis 默认6379端口的问题

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
你知道吗?

宣传栏