记录一次kdevtmpfsi的清理过程 挖矿病毒清除

发布时间:2024-04-14 18:17:18,浏览2018次

今天心情好远程登录服务器,结果发现cpu居然占用了100%,这是不正常的,于是使用top命令查看占用多的进程,发现是一个名为kdevtmpfsi的进程,于是使用kill命令将其杀死,但是这似乎并没有解决问题,不一会这个进程又活过来了。

于是在进一步查找发现kdevtmpfsi文件在/tmp目录下,于是来到这个目录使用rm命令将其删除,同时删除掉kinsing,并使用ps -aux | grep kinsing查询进程号并将其杀死。

可是还没开心超过10分钟,kdevtmpfsi进程又再次起来了,这让我很是难受,不管如何搜索解决办法,似乎最后都没能将其根治。同时包括cron的自动运行,那个似乎是一个烟雾弹,看着虽然都在时刻运行,但是确是一只访问的都是404根本没下载文件下来,所以我只能考虑重装看看了。

于是我只好备份了数据,重装系统,并恢复数据,想着应该这样能好了吧。

半个月后,我再次登录服务器,结果发现在我上次重装系统后的第5天,又被黑了,所以问题绝对出在服务器的配置上,但是是通过什么途径黑进来的呢,一下子并无头绪,只好先清理病毒吧。

于是这次换了一种方式思考,既然再次被黑,说明黑进来后增加的文件肯定是新的, 要么修改日期也是新的,于是通过AI的帮助下学习了一条新的命令用于超着文件,同时观察运营商服务器监控到的cpu飙升时间进行小范围内的搜索,使用的命令如下:

# find / -type f -maxdepth 5 -user www-data -newermt "2024-04-14 15:00" ! -newermt "2024-04-14 18:00"
解析下参数
-type f 表示搜索的是文件
-maxdepth 5 表示查询的深度
-user www-data 表示查找该用户的文件
-newermt 表示限定的时间
合起来就是从根目录下开始搜索向下5层,是用户www-data创建的文件,且时间在2024-04-14 15:00到2024-04-14 18:00之间(为什么加了个用户,因为通过文件的进程发现是这个用户运行的)

于是搜索到如下信息(已经过简略):

/tmp/kinsing
/tmp/.ICEd-unix
/tmp/.ICEd-unix/uuid
/tmp/linux.lock
/tmp/kdevtmpfsi
/dev/shm/.ICEd-unix
/var/spool/cron/www
/var/tmp/.ICEd-unix
/var/tmp/yum-www-OeOwD5
/var/tmp/yum-www-OeOwD5/x86_64
/var/tmp/yum-www-OeOwD5/x86_64/7

以上文件看着就不是好东西,所以全部通过rm命令统统删除(宁可错杀不放过,大不了重装),同时记得结束kdevtmpfsi和kinsing对应的进程

那么现在问题来了,到底是如何入侵的呢,最后通过查看很多记录数据后发现一个关键的漏洞,就是我居然没有禁用php的exec函数,大概这就是被利用来攻破的问题所在吧,于是赶紧在php.ini重禁用了一些危险函数“exec,system,shell_exec,passthru,eval,popen,putenv,phpinfo”,现在就看看还会不会被黑吧。

评论