突然发现公司测试服务器CPU过高，是这两个sysupdate, networkservice进程，很明显是被挖矿了，记录下来以供参考。

病毒会把一些文件给加i锁或a锁，导致无法修改数据，所以某些操作需要清除锁

这个是kdevtmpfsi的守护进程，把它kill掉，然后kill掉kdevtmpfsi，然后删文件.

 ps -aux | grep kinsing

[root@localhost tmp]# ps -aux | grep kinsing
root     11459  0.0  0.0 112812   968 pts/0    S+   11:57   0:00 grep --color=auto kinsing
root     26969  0.0  0.2 718976 33056 ?        Sl   05:43   0:01 ./kinsingwtCDqh7M9U

一般这个病毒会修改定时任务，如果被入侵的haul，要清楚定时任务，没有的话就算了

chattr -ai /var/spool/cron
chattr -ai /var/spool/cron/root
crontab -r 

lsattr 查看
chattr -i 去除i锁
chattr +i 加i锁

sysupdate，networkservice以及一些伴生文件sysguard、update.sh，config.json都在/etc/下，同样的，除锁，删文件

chattr -i /etc/networkservice
rm -rf /etc/networkservice
chattr -i /etc/sysupdate
rm -rf /etc/sysupdate
chattr -i /etc/sysguard
rm -rf /etc/sysguard
chattr -i /etc/update.sh
rm -rf /etc/update.sh
chattr -i /etc/config.json
rm -rf /etc/config.json

然后干掉进程
利用top就能看到networkservice，sysupdate的PID

kill -9 PID号 PID号 PID号

 

在/tmp下有一个kdevtmpfsi，这个也是病毒带来的

chattr -i /tmp/kdevtmpfsi
rm -rf /tmp/kdevtmpfsi

顺便清除掉 .ssh/authorized_keys内陌生的主机，因为没有设置这个，就直接清空了

chattr -i /root/.ssh/authorized_keys
echo "" > /root/.ssh/authorized_keys

最后修改回来被病毒修改的文件

mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl

该病毒是因为redis的配置文件问题，不严谨导致被钻了空子开放了其余端口，基于这个可以打开防火墙，只开放某些需要的端口