Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议

简介: Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议

1. 问题说明

有一段时间没有登录云服务器了,心里想着看看服务器有没有被木马占领,好巧不巧,阿里云和腾讯云都被占领了,更巧的是,都是 kthreaddk 进程,首先想到的是百度一下看看有没有解决办法,网上似乎只有 kthreaddi 相关的说明而且无法解决问题,之前处理过 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒所以有了一些思路。

2. 病毒处理

2.1 改密重启服务

我首先干的事是: 修改密码并重启两台服务器。有些病毒是暴力破解服务器密码后将木马程序部署到服务器上的,而且有的木马程序是放在 /tmp 文件夹下的,重启会被清除。

阿里云重启前,cpu使用率 92.7% ,我直接在控制台改密重启所以没有截取到 kthreaddk 的进程信息。

阿里云重启后,cup使用率 0.3%,世界顿时清净了。

不知道干啥的定时任务被清除后也未再次出现:

阿里云的 kthreaddk 处理完成。

2.2 查删定时任务

腾讯云的就没这么幸运了,改密重启无效,kill 掉 kthreaddk 进程后立马重新启动了。

应该是有定时任务:

# 查看定时任务发现不是自己添加的然后删除
crontab -l
* * * * * /etc/NetworkManager/dnsmasq-shared.d/ix2qjo
crontab -r
# 再次查看又出来了
crontab -l
* * * * * /etc/ix2qjo
# 试图删除执行的文件
rm /etc/ix2qjo
rm: cannot remove ‘/etc/ix2qjo’: No such file or directory
rm /etc/NetworkManager/dnsmasq-shared.d/ix2qjo
rm: cannot remove ‘/etc/NetworkManager/dnsmasq-shared.d/ix2qjo’: No such file or directory
# 再再再次删除定时任务后查看
crontab -r
crontab -l
* * * * * /data/ix2qjo
crontab -r
crontab -l
* * * * * /ix2qjo
crontab -r
crontab -l
* * * * * /etc/NetworkManager/dispatcher.d/pre-up.d/ix2qjo

执行查找删除命令:

rm -rf $(find / -name “ix2qjo”)

此时,我打开了另一个命令行窗口,使用 top 命令发现 find 命令根本执行不了,cpu 被 kthreaddk 和 xcxham 两个进程霸占了,所以我又打开了第三个命令行窗口,不断 kill 掉 kthreaddk 和 xcxham 两个进程,随后在最初的窗口看到 rm -rf $(find / -name “ix2qjo”) 命令执行完成。

执行完成后又使用 crontab -l 查看了一下定时任务,心中一凉,这次不仅换地方还换名称了?使用 crontab -l 删除后,没有再次出现定时任务。

2.3 处理过程分析

猜想,腾讯云服务器上的定时任务被删除后,可能是由于 kthreaddk 或 xcxham 进程还在执行,会重新添加定时任务,定时任务是重启服务的入口,我在其他窗口查杀 kthreaddk 和 xcxham 两个进程同时又在执行 rm -rf $(find / -name “ix2qjo”) 删除其启动文件,最终阻断了病毒的复制和执行。

3. 云服务器使用建议

  • 不定时修改服务器密码(密码强度越高越好)
  • 不要随便开放端口(使用安全组配置开放哪些端口、开放给哪些IP地址)
  • 一些组件不建议使用默认端口(不少攻击都是通过80、3306、8080等进行攻击的)
相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
W9
|
24天前
|
运维 关系型数据库 MySQL
轻松管理Linux服务器的5个优秀管理面板
Websoft9 应用管理平台,github 2k star 开源软件,既有200+的优秀开源软件商店,一键安装。又有可视化的Linux管理面板,文件、数据库、ssl证书方便快捷管理。
W9
74 1
|
27天前
|
缓存 Ubuntu Linux
Linux环境下测试服务器的DDR5内存性能
通过使用 `memtester`和 `sysbench`等工具,可以有效地测试Linux环境下服务器的DDR5内存性能。这些工具不仅可以评估内存的读写速度,还可以检测内存中的潜在问题,帮助确保系统的稳定性和性能。通过合理配置和使用这些工具,系统管理员可以深入了解服务器内存的性能状况,为系统优化提供数据支持。
34 4
|
1月前
|
NoSQL Linux PHP
如何在不同操作系统上安装 Redis 服务器,包括 Linux 和 Windows 的具体步骤
本文介绍了如何在不同操作系统上安装 Redis 服务器,包括 Linux 和 Windows 的具体步骤。接着,对比了两种常用的 PHP Redis 客户端扩展:PhpRedis 和 Predis,详细说明了它们的安装方法及优缺点。最后,提供了使用 PhpRedis 和 Predis 在 PHP 中连接 Redis 服务器及进行字符串、列表、集合和哈希等数据类型的基本操作示例。
57 4
|
29天前
|
运维 监控 安全
盘点Linux服务器运维管理面板
随着云计算和大数据技术的迅猛发展,Linux服务器在运维管理中扮演着越来越重要的角色。传统的Linux服务器管理方式已经无法满足现代企业的需求,因此,高效、安全、易用的运维管理面板应运而生。
|
29天前
|
运维 监控 Linux
服务器管理面板大盘点: 8款开源面板助你轻松管理Linux服务器
在数字化时代,服务器作为数据存储和计算的核心设备,其管理效率与安全性直接关系到业务的稳定性和可持续发展。随着技术的不断进步,开源社区涌现出众多服务器管理面板,这些工具以其强大的功能、灵活的配置和友好的用户界面,极大地简化了Linux服务器的管理工作。本文将详细介绍8款开源的服务器管理面板,包括Websoft9、宝塔、cPanel、1Panel等,旨在帮助运维人员更好地选择和使用这些工具,提升服务器管理效率。
|
1月前
|
安全 算法 Linux
Linux 服务器还有漏洞?建议使用 OpenVAS 日常检查!
在数字化时代,Linux 服务器的安全至关重要。OpenVAS 是一款优秀的开源漏洞扫描工具,可以帮助及时发现并修复服务器中的安全隐患。本文将介绍 OpenVAS 的主要功能、使用方法及应对漏洞的措施,帮助用户加强服务器安全管理,确保企业数字化安全。
56 7
|
15天前
|
存储 Oracle 安全
服务器数据恢复—LINUX系统删除/格式化的数据恢复流程
Linux操作系统是世界上流行的操作系统之一,被广泛用于服务器、个人电脑、移动设备和嵌入式系统。Linux系统下数据被误删除或者误格式化的问题非常普遍。下面北亚企安数据恢复工程师简单聊一下基于linux的文件系统(EXT2/EXT3/EXT4/Reiserfs/Xfs) 下删除或者格式化的数据恢复流程和可行性。
|
27天前
|
安全 Linux API
Linux服务器安全
人们常误认为服务器因存于数据中心且数据持续使用而无需加密。然而,当驱动器需维修或处理时,加密显得尤为重要,以防止数据泄露。Linux虽有dm-crypt和LUKS等内置加密技术,但在集中管理、根卷加密及合规性等方面仍存不足。企业应选择具备强大验证、简单加密擦除及集中管理等功能的解决方案,以弥补这些缺口。
24 0
|
7月前
|
弹性计算 关系型数据库 MySQL
数据传输DTS腾讯云上的mysql同步到阿里云上的mysql可以操作吗?
数据传输DTS腾讯云上的mysql同步到阿里云上的mysql可以操作吗?
316 0
|
存储 云安全 大数据
【云计算和大数据平台】云计算平台和大数据平台(如阿里云、腾讯云、华为云等)的搭建和使用方法
【云计算和大数据平台】云计算平台和大数据平台(如阿里云、腾讯云、华为云等)的搭建和使用方法
453 0
下一篇
DataWorks