一、中毒症状

1.1 异地ip登录

多以国外的为主

1.2 kinsing守护进程

1.3 kdevtmpfsi文件

1.4 发现过程

接收到云平台的异常登录警告时，我就立马上线把服务器密码修改了，起初，我分析认为是因为我之前用root开redis导致别人在我的服务器上留了个后门（现在回溯看来，原因的确如此），查看了对方的登录ip，ping过去发现也是一台服务器，还开着apache服务，于是我写了个脚本，在请求头写满骂人的话，开个代理池，疯狂给这个黑我服务器的人get过去….

改密码后几天，对方黑客也没对我动手了。我以为事情可能就这样结束了，反正我服务器也没啥东西。可没想到几天后，他又来了…这让我警觉起来。

对方肯定是留有守护进程的，并且是开机自启动、定时任务的那种，如果不一次性弄干净，对方就能不断侵入我的服务器。岂可修！

最终，了解到这是个挟持计算机去帮助别人挖矿的病毒，它的目的主要是借用你的计算资源，恶意性不大，但是会占用大量内存，甚至让服务器卡到宕机。

二、处理方法

2.1 清理异常定时任务

先把这个删干净了，不然对方能不断通过这个任务来向服务器里执行脚本，开后门。

查看定时任务
crontab -l 

crontab -r 
表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除

crontab -e 
打开crontab执行命令

cat /etc/crontab
检查crontab文件

在终端输入service crond stop可以停止crontab定时任务执行

2.2 kill掉kinsing和kdevtmpfsi进程

ps -aux|grep kinsing
ps -aux|grep kdevtmpfsi
sudo kill -9 对应进程号

2.3 删除kinsing、kdevtmpfsi文件

sudo rm /tmp/kdevtmpfsi
sudo rm /var/tmp/kinsing/

2.4 删除涉及到的普通用户

这次，对方是使用了es这个普通用户登录我的服务器的，并且注意到用户文件夹里也有可疑文件的存在，最好删干净，以除后患。

sudo userdel -r username
加上-r可以删除/home/路径下的用户文件夹，否则不能

2.5 修改root密码

保险起见，最好改一下root密码，并重启

2.6 重启后再检查

查看定时任务
crontab -l 

ps -aux|grep kinsing
ps -aux|grep kdevtmpfsi

查看主要占内存的进程
top 

查看有哪些net连接
netstat -antp

至此，应该把这个木马病毒清干净了，通俗来说就是别人利用漏洞在你服务器上开了个后门，让你的服务器变成了他的肉鸡。至于是否真的真的删干净了呢，我也不确定，万一它又隐藏了什么触发脚本之类的东西呢？

接下来一段时间内，要是云平台没给你提示异常登陆行为的话，那应该没什么问题了，如果再次出现，可能还是重装一下服务器好点吧，反正服务器也没什么重要文件…实属无奈

三、预防方法

3.1 使用普通用户开启服务

通过这次中毒经历，我深刻意识到了使用root开服务开端口的恶劣后果，今后使用redis、es等应用时，必须新建普通用户，再切换到普通用户来启动之。

3.2 密码越复杂越好

无论是服务器登录密码，还是数据库等应用服务的验证密码，都最好弄复杂一些，并且注意好权限管理，以防被爆破出来。

3.3 尤其尤其注意redis的设置

必须给redis加密码，越复杂越好，同时注意配置文件中，一些本地存储文件化的选项。这里已经有很多人掉进坑里了，redis真的是一个很容易受攻击的点，这篇文章值得我们深入学习：Redis漏洞，远程攻击

四、一些参考博客

Redis漏洞，远程攻击

挖矿病毒kdevtmpfsi

原文始发于微信公众号（豆子前端）：[运维]kdevtmpfsi挖矿病毒的处理

文章由极客之音整理，本文链接：https://www.bmabk.com/index.php/post/57049.html

[运维]kdevtmpfsi挖矿病毒的处理