| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 系统运维 -> linux挖矿病毒kthreaddk横行,如何灭掉它? -> 正文阅读 |
|
[系统运维]linux挖矿病毒kthreaddk横行,如何灭掉它? |
????????其实这不是第一次遇到kthreaddk病毒了,服务器上经常是删了又删,隔几天又冒出来,无法根绝。这里记录一下几种排查方法和服务器优化方案。 ? ? ? ? 1. 安装运维工具htop,它可以很方便的定位到该进程的关联进程。如果卡死动不了,用top定位也可以。如果top指令用不了,大概率是被篡改了,自行百度下,网上也有这种案例。 ? ? ? ? htop进入管理界面,按大写的P可以按照CPU使用率从高到低排序,一般最高的那个就是罪魁祸首;随后F5,树形结构展开,发现其关联进程,如果要kill掉,直接找到父进程,按F9再回车,但是咱们先别这么干,如果服务器不是卡的动不了的话。 ? ? ? ? 2.? 一般这种病毒比较顽固,会有定时任务不间断执行。 ? ? ? ? ? crontab -e?查看并编辑定时任务,删除可疑定时任务,把该文件下载下来后再删掉,留待分析。 ? ? ? ?3.? 定时任务有时手动删了还是没用,说明其有守护进程去监控定时任务的状态。咱们可以用top或者htop去查看可疑进程,比如我一删掉定时任务 crontab -r(删除所有定时任务),top 里就发现有进程的cpu在跳动,重点排查这个进程。 ? ? ? ? 4. 病毒将其纳入了系统服务,这里我不详细说明了,因为我没遇到就没做记录 ? ? ? ? 5.?lsof -i查看所有进程的tcp连接信息,发现境外ip的,先记录下来,直接加入黑名单 ? ? ? ? ?iptables -A OUTPUT -d "213.226.123.219" -j DROP ? ? ? ? 6.? ?如果想追踪的更深入点,strace -tt -p 44168 (44168是进程id),可追踪进程执行时的系统调用和所接收的信号点,然后该删的删 ? ? ? ?7. 这里差不多清净了点,我们就能稍微升级下服务器的安全性了。 ? ? ? ? ? ? ? a. 把常用的端口都换一换,比如3306,8080,6379什么的,这些很容易被攻击 ? ? ? ? ? ? ? b. 能本地访问的就不要暴露到公网,比如mysql,redis尽可能设置成127.0.0.1访问,外网没法接触。 ? ? ? ? ? ? ?c. 防火墙一定要开起来,别怕麻烦,必须暴露的端口才放开,减少公网入口 ? ? ? ? ? ? ?d. 禁止root远程登陆,这个很重要,密码也改复杂一些。 ? ? ? ?目前能想到的就这些,欢迎补充? ? ? ? ? ? |
|
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/29 8:43:17- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |