事件起因
师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天记录(哈哈哈哈哈哈哈哈哈哈哈)
说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的
第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个记录
同时是两条线在做,师姐在找杀毒软件,我在手动处理
过程
CPU 100%了,那当然直接看top,发现一个名为kdevtmpfsi的占用很高
top
查看PID对应的可执行程序,没有回显
lsof -p 13348
这里我直接kill了
kill -9 13348
但还是没多久就又复活了,这里用了top -c
这个命令看进程信息
最近打渗透比较多,所以去找了一下定时任务(第二次复活的PID没有记录下来,先用这个代替)
crontab -l
发现一个/root/.acme.sh
但是这貌似与木马无关
这时候师姐那里装好了杀毒软件ClamAV
,结果没杀掉
这个时候考虑到有守护进程
ps -ef | grep kdevtmpfsi
看到所有的kdevtmpfsi都指向同一个PPID(父进程)27039,把27039进程kill了
kill -9 27039
可以看到CPU不再是100%,恢复了正常
现在需要找到木马文件,但是进程已经被杀死了,没有办法通过
ps -aux | grep kdevtmpfsi
ps -aux | grep kinsing
来定位木马文件,这里只能用find
搜一下了
定位到/var/lib/docker/overlay2
路径下
直接删除了这两个文件
rm -rf kdevtmpfsi
rm -rf kinsing
之后CPU占用正常,也没有可疑进程在跑,所以应该是处理完了,但是黑客攻击docker中部署的Web项目的过程没有搞清楚,怎么种的马也没有搞清楚,所以不能算完整的应急响应吧,只能说是紧急处理了一下挖矿木马