CentOS清理挖矿进程dkmsiox

进程运行:

./dkmsiox –donate-level 1 -o 127.0.0.1:11337 -u wo0 -a rx/0 -k -B

查看 11337 端口的监听进程:

ss -tulnp | grep 11337
lsof -i :11337

如果发现异常进程(如 ./dkmsiox),记录其 PID 并检查:

ls -la /proc/<PID>/exe  # 查看真实路径

比如已找到进程5042

[root@ecs ~]# ss -tulnp | grep 11337 tcp LISTEN 0 1 *:11337 *:* users:((“kernel-modules”,pid=5042,fd=3))

1. 检查进程 5042 的详细信息

ps aux | grep 5042
ls -la /proc/5042/exe       # 查看进程的真实路径
cat /proc/5042/cmdline      # 查看启动命令

如果 /proc/5042/exe 指向 /dev/shm/dkmsiox,则确认是恶意程序。

2. 检查进程的 TCP 连接

查看该进程是否外连矿池或 C2 服务器:

ss -tulnp | grep 5042
netstat -antp | grep 5042
lsof -i -P -n | grep 5042

如果发现类似 stratum+tcp:// 或 xmrpool.eu 的连接,则是挖矿木马。

🔥 紧急处置步骤(在每台受感染服务器执行)

1️⃣ 立即终止恶意进程

#查找并杀死所有相关进程
sudo pkill -f "kernel-modules"
sudo pkill -f "dkmsiox"

2️⃣ 删除恶意服务

# 停止并禁用服务
sudo systemctl stop kernel-modules.service
sudo systemctl disable kernel-modules.service

# 彻底删除服务文件(关键!)
sudo rm -f /etc/systemd/system/kernel-modules.service
sudo rm -f /usr/lib/systemd/system/kernel-modules.service
sudo systemctl daemon-reload

3️⃣ 清除恶意文件

# 删除已知恶意文件
sudo rm -f /usr/bin/kernel-modules  # 主要二进制文件
sudo rm -f /dev/shm/dkmsiox         # 内存驻留文件
sudo find / -name "*kernel-modules*" -delete 2>/dev/null

4️⃣ 检查所有持久化入口

# 检查cron任务
sudo crontab -l
sudo ls -la /etc/cron* /var/spool/cron/

# 检查开机启动项
sudo ls -la /etc/rc.local /etc/rc.d/ /etc/profile.d/

# 检查动态链接劫持
sudo ls -la /etc/ld.so.preload

🛡️ 安全加固

1️⃣使用iptables封锁指定端口

# 封锁入站和出站的11337端口(TCP)
sudo iptables -A INPUT -p tcp --dport 11337 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 11337 -j DROP

# 同时封锁UDP(如果有必要)
sudo iptables -A INPUT -p udp --dport 11337 -j DROP
sudo iptables -A OUTPUT -p udp --dport 11337 -j DROP
# CentOS 6/7 保存规则
sudo service iptables save
# 禁止外部访问本地回环端口
sudo iptables -A INPUT -i lo -p tcp --dport 11337 -j DROP
#禁止可疑IP通信
sudo iptables -A OUTPUT -d xmrpool.eu -j DROP

2️⃣ 关键防护措施

# 安装Rootkit检测工具
sudo yum install -y rkhunter
sudo rkhunter --check --sk

# 内存执行保护
sudo echo "kernel.exec-shield = 1" >> /etc/sysctl.conf
sudo sysctl -p

3️⃣ 漏洞修复

#更新所有高危组件
sudo yum update -y openssl libcurl bash
#禁用危险服务
sudo systemctl disable postfix cups

最终建议

  • 如果无法彻底清除,建议 备份数据后重装系统(尤其是生产服务器)。

该病毒也会将docker入侵,所以检查下机器是否有被安装过docker

docker ps #查看容器是否有repocket、cli_v2、watchtower
[root@ecs ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
2659f58c2c03 repocket/repocket "/bin/sh -c 'node di…" 24 hours ago Up 54 seconds rpworker
1f7bfa104de1 containrrr/watchtower "/watchtower --clean…" 25 hours ago Up 54 seconds (healthy) 0.0.0.0:2095->8080/tcp, :::2095->8080/tcp watchtower
8eecac799f12 traffmonetizer/cli_v2:latest "./Cli start accept …" 25 hours ago Up 54 seconds tm

停止容器并删除

docker ps里看到的CONTAINER ID 就是容器的ID

docker stop 2659f58c2c03 1f7bfa104de1 8eecac799f12
docker rm 2659f58c2c03 1f7bfa104de1 8eecac799f12

查看docker镜像并删除

docker images
docker rmi -f e7dd50d07b86 强制删除镜像

若用不到docker请立即停止

#立即停止 Docker 服务
sudo systemctl stop docker docker.socket containerd
#禁用 Docker 开机自启
sudo systemctl disable docker docker.socket containerd
#卸载
sudo yum remove docker-ce docker-ce-cli containerd.io
sudo rm -rf /var/lib/docker /etc/docker
sudo rm -f /etc/apparmor.d/docker
sudo rm -rf /var/run/docker.sock
运维技巧

Linux下wget常用重连下载参数

2023-10-18 0:47:11

源码资源

PHP ICP备案查询源码分享

2023-6-27 15:45:27

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索