linux挖矿病毒kthreaddk横行，如何灭掉它？

Posted 2022-10-15 jiangzhongwei_

        其实这不是第一次遇到kthreaddk病毒了，服务器上经常是删了又删，隔几天又冒出来，无法根绝。这里记录一下几种排查方法和服务器优化方案。

        1. 安装运维工具htop，它可以很方便的定位到该进程的关联进程。如果卡死动不了，用top定位也可以。如果top指令用不了，大概率是被篡改了，自行百度下，网上也有这种案例。

        htop进入管理界面，按大写的P可以按照CPU使用率从高到低排序，一般最高的那个就是罪魁祸首；随后F5,树形结构展开，发现其关联进程，如果要kill掉，直接找到父进程，按F9再回车，但是咱们先别这么干,如果服务器不是卡的动不了的话。

        2.  一般这种病毒比较顽固，会有定时任务不间断执行。

          crontab -e 查看并编辑定时任务，删除可疑定时任务，把该文件下载下来后再删掉，留待分析。

       3.  定时任务有时手动删了还是没用，说明其有守护进程去监控定时任务的状态。咱们可以用top或者htop去查看可疑进程，比如我一删掉定时任务 crontab -r(删除所有定时任务),top 里就发现有进程的cpu在跳动，重点排查这个进程。

        4. 病毒将其纳入了系统服务，这里我不详细说明了，因为我没遇到就没做记录

        5. lsof -i查看所有进程的tcp连接信息，发现境外ip的，先记录下来，直接加入黑名单

         iptables -A OUTPUT -d "213.226.123.219" -j DROP

        6.   如果想追踪的更深入点，strace -tt -p 44168 (44168是进程id),可追踪进程执行时的系统调用和所接收的信号点，然后该删的删

       7. 这里差不多清净了点，我们就能稍微升级下服务器的安全性了。

              a. 把常用的端口都换一换，比如3306，8080，6379什么的，这些很容易被攻击

              b. 能本地访问的就不要暴露到公网，比如mysql，redis尽可能设置成127.0.0.1访问，外网没法接触。

             c. 防火墙一定要开起来，别怕麻烦，必须暴露的端口才放开，减少公网入口

             d. 禁止root远程登陆，这个很重要，密码也改复杂一些。

       目前能想到的就这些，欢迎补充