Ubuntu18.04 进程和cpu占用都正常,中了kdevtmpfsi（比特币）挖矿木马病毒

Posted 2022-08-08 玩电脑的辣条哥

环境：

Ubuntu18.04 物理机服务器

kdevtmpfsi MD5:
133d422cb4c79f0fc871f612246d61f8

SHA1:
7a0455d7450644fdfe620f0bcb1ee8332d75297e

文件大小:
3710448字节

SHA256:
d318cdb5fee75d647c784a6dcb2a5a613143caf7740087726911bab35206b666

文件类型:
elf

恶意类型: 挖矿病毒

家族/团伙:BitCoinMiner

问题描述：

防火墙告警主机192.168.20.22有多次请求恶意域名的情况，且防火墙安全报告也显示该主机有多次请求恶意域名的情况

解决方案：

解决过程

1.登录服务器，进行排查
命令：lsof -i #查看端口现在运行的情况发现可疑信息
2.命令：ps -ef | grep kdevtmpfsi #查看可以进程文件位置

3.命令：cd /tmp #进可疑文件夹里看看

4.把这个文件下载下来扫毒一下


5.kill kdevtmpfsi进程删除木马文件
通过 命令搜索是否还有 kdevtmpfsi 文件
find / -name “kdevtmpfsi”
find / -name “kinsing”

6.查看是否有相关的木马定时任务在执行 ，有的话删掉再重启下crontab，及时关闭定时任务

该服务器上的用户口令较弱，容易导致攻击者利用
1.用户更换强密码，监听固定IP，更改默认端口

2.启用ssh公钥登陆，禁用密码登陆