docker容器封装redis 挖矿病毒kdevtmpfs的处理

docker封装redis,mysql,dockerfile封装项目,由于是个人做练习用服务器,基本没大流量情况,在项目运行一段时间后,发现数据访问异常卡顿,发现服务器cpu使用率达到100%,其中kdevtmpfsi进程占用50%以上,然后网上查得这个病毒为挖矿病毒。下面将处理方法介绍如下。

1.进入服务器,使用top命令,查看服务器运行状态:

     2.使用ps -ef|grep kdevtmpfsi 命令查看进程

     3.使用docker ps 查看docker-redis容器id,再输入docker exec -it  containerid /bin/bash 进入容器

 

    4.删除kdevtmpfsi文件,rm -rf  /tmp/kdevtmpfsi

    5.使用touch 命令在/tmp目录下创建一个同名的kdevtmpfsi空文件

 

     6.退出容器,杀死kdevtmpfsi进程:kill pid,完成整个处理过程。

 

    7.宿主机+redis容器,都查找文件,全部删除,若没有则无需操作

find / -name kdevtmpfsi
find / -name kinsing

    原理:kdevtmpfsi挖矿病毒是依托于docker-redis而存在,主要表现是大量占用服务器CPU资源,按照普通的处理方法是找到进程,并且kill进程。kill进程后,病毒会检查进程,在发现进程被强行终止后,病毒会去寻找容器中的/tmp/目录下的kdevtmpfsi文件,如果发现有这个文件,就会执行这个文件,进而让kill进程操作无效,如果在/tmp/目录下没有发现kdevtmpfsi文件,就会重新生成kdevtmpfsi文件,然后执行。所以我们在/tmp/目录下创建一个同名的kdevtmpfsi空文件,起到欺骗病毒程序效果,避免反复感染。

    另网上有说避免使用redis的默认6379端口,有待验证。

posted @ 2020-07-31 21:36  一个人的孤独自白  阅读(2046)  评论(0编辑  收藏  举报