近来我的服务器又中了kdevtmpfsi木马
这说明之前写的方法并不可行,于是我又斗智斗勇了好几天……
===============原文====================
这是一个挖矿病毒,通过我docker的redis进入的,一开始没设置密码的隐患啊。
应该配置好密码,做好端口映射,别傻乎乎的用默认的主机端口~
先将相应木马文件删除
sudo find / -name kdevtmpfsi*
sudo rm -rf ...
再将守护进程的文件删除
sudo find / -name kinsing*
sudo rm -rf ...
杀死进程
ps -aux | grep kinsing
sudo kill -9 PID
ps -aux | grep kdevtmpfsi
sudo kill -9 PID
我的定时任务里倒是没发现有什么问题
不过可以检查一下
crontab -l
crontab -e 删除定时任务
还有/etc/rc.local以及/etc/init.d都检查一遍
===============更新====================
经过几天的实验,我很确定木马就是通过docker进来的。
- 逐一检查了容器,并没有发现定时下载木马的病毒
- 更换了开放端口的容器的端口号和密码
然而毫无卵用,隔一天木马又回来了,难道……docker还有什么后门?又或者我的容器端口号和密码又被破解了???
于是,我直接在云服务器的安全组里关闭了绝大多数端口,只留下了80,443,22等几个常用的端口,然后就再也没中这木马了……
划重点:关闭不必要开放的端口号