病毒kworkerds 防御日志

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24230149/article/details/83625563

病毒kworkerds又叫挖矿,中毒的服务器一般都是现实cpu 100%,但是只有一个进程看kworkerds,博主也是最最最垃圾的小白,然后刚刚开始数据库连不上,然后进来top看资源顿时有点慌,但是慌中带点皮,毕竟没实战过,所以后面百度了方法下面总结一下:
1.先kill掉现在的进程,让cpu降下去,
2.查看定时,清空定时任务
3.ls -al /tmp,删除下面所有病毒生成的隐藏文件
top -b 多了一个python,干啥的不知道,查看删除进程python
cd /usr/local/lib下 rm -rf libjdk.so
cd /var/log,可疑的日志通通删除,
ps -ef | grep kworkerrds
cd /etc,下rm -rf ld.so.preload
crontab -e
转个脚本
0x02 快速清除
#!/bin/bash
ps aux|grep “I2NvZGluZzogdXRmLTg”|grep -v grep|awk ‘{print KaTeX parse error: Expected 'EOF', got '}' at position 2: 2}̲'|xargs kill -9…d’ /etc/crontab
sed -i ‘$d’ /etc/ld.so.preload
rm -rf /usr/local/lib/libntp.so
ps aux|grep kworkerds|grep -v color|awk ‘{print $2}’|xargs kill -9
rm -rf /tmp/.tmph
rm -rf /bin/kworkerds
rm -rf /tmp/kworkerds
rm -rf /usr/sbin/kworkerds
rm -rf /etc/init.d/kworker
chkconfig --del kworker
根据病毒的名字修改脚本可以使用,如果不放心可以后面继续观察资源是否还是很高、
转个优秀博客:http://www.cnblogs.com/x_wukong/p/9856000.html
后面总结了如果是病毒一般遇到的方式:
1.查看各项资源占用情况
2.查看定时任务
3.查看tmp目录下的隐藏文件
4.查看系统日志。(之前系统日志被人为删除,后面估计是病毒中已经把真实ip和密钥泄露)
5.kworkerds病毒大部分是通过redis端口,弱密码进来,所以服务器redis最好是修改端口,iptables做拦截,密码要做复杂,买了两台阿里云做主备同时被感染,都是装了redis,后面买阿里云的redis后没有情况发生了。
6.被感染的机子有条件最好重做系统,彻底清除,没有条件,最好更换公网ip,ssh的端口和其他敏感端口,防止黑客入侵盗取数据

展开阅读全文

没有更多推荐了,返回首页