【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入

起因
我做错了这几件事情
开启了全部IP登陆权限用的是默认用户名和密码用户也没有设置密码 , 直接用su - 就能登陆
不知道是什么原理 , 反正服务器被侵入 , 并且注入了病毒文件
1. 基本信息排查
linux服务器被挖矿的解决办法
记一次公网数据库服务器被入侵为矿机的定位过程
服务器被黑客用来挖矿?怎么办?
挖矿入侵Linux系统排查步骤
使用top定位程序 , 以及查看程序的脚本
首先使用top命令 , 发现占用内存最高的程序
来自的回答
如果你已经确定了某个进程或者命令的 PID , 那么可以使用以下命令反向定位是哪条指令对应着该进程或命令:
cat /proc/
/
发现该命令在/tmp目录下
检查host是否被篡改
使用cat /etc/hosts,发现host被篡改 , 删除即可
检查定时任务
这一部分可以具体参考
输入 -e查看定时任务
注意:我用root账号登陆的时候 , 执行该指令没有任何东西 。但是当我su - 的时候再执行 , 就发现了这个定时任务
删除定时任务 , 如果不放心 , 可以停止定时任务
2. 删除挖矿任务
由于该挖矿任务是个常见任务 , 因此网上很多教程 , 我参考的是
挖矿病毒 , 反复启动 , 守护进程害人不浅 , 一次彻底删除
1.首先 , top 系统进程
2.接着输入命令12625,查看具体进程

【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入

文章插图
也可以分别用以下两个命令查看进程
ps -aux | grep
ps -aux | grep
3.分别kill 掉这两个进程 , 一定要两个都kill掉 , 刚开始处理的时候只kill了主进行 , 没有处理守护进程 , 导致一会又挖矿机器> 又启动开始工作 , cpu 又跑到100%
kill -9 5140 -9是彻底结束这个进程
kill -9 12625
4.删除两个进行的执行文件
rm -rf /tmp/
rm -r /tmp/
服务器不同 , 可能路径不同 , 可以直接用命令查找
find / -name
find / -name
找到后按照路径直接删除
5.查看文件存在/tmp目录下 , 这边已将文件权限取消 , 并结束进程
6.使用lsof查看该进程存在异常IP连接 , 比如:45.129.2.107 , 在服务器安全组中将该IP禁用 , 并重启服务器
7.最后 , 一定要重置系统上的所有用户密码 , 检查服务安全组 , 尤其是远程端口!!!
【【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入】topsystemctl status PIDps -aux | grep kinsingps -aux | grep kdevtmpfsikill -9 PIDkill -9 18534rm -rf kdevtmpfsirm -rf /var/tmp/kinsing 这个守护进程的文件一定要干掉 , 也可以用这个命令find / -name kdevtmpfsifind / -name kinsing