王海庆的云笔记

Linux服务器被植入挖矿木马


运行htop,发现kdevtmpfsi进程占用CPU非常大


查看定时任务

crontab -l 
crontab -e


查看kdevtmpfsi是否为守护进程,发现kinsing为守护进程

systemctl status 23437

ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi


删除木马

cd  /tmp 
ll
rm -rf kdevtmpfsi
rm -rf kinsing
rm -rf /var/tmp/kinsing


 怎么中的木马,目前怀疑两个方向

1、暴力破解root密码

2、gitlab采用了低版本(Gitlab 远程命令执行漏洞(CVE-2021-22205),而且执行的进程的用户为git)


文章最后更新时间: 2021-11-11 15:33:26