记录遭遇挖矿程序kthrotlds的失败处理经历

1 发现问题

在腾讯云上购买了一个centos7的服务器，平时用来练手，偶尔也安装一些程序进行测试，上面安装了mysql和redis，前段时间数据库经常掉线，连不上，到腾讯云后台进行查看，通过服务器实例的监控窗口，可以查看服务器的一些指标状态，包括CPU、内存、流量等数据，本来看到CPU使用超过了90%，然后用kill -9 pid，或者重启服务器，问题当时解决了，也就没有太注意，结果第二天发现，CPU的利用率又变成了90%以上，然后再杀进程。

刚杀完就出现新的进程，CPU利用率还是90%以上，查看CPU的名称，是kthrotlds，百度了一下，发现原来是挖矿程序。

2 尝试解决问题

还是依靠百度，看看大家都怎么处理这个问题，有专业人士给出详细的分析，参见https://www.360zhijia.com/anquan/447557.html，而且给出解决方法，参见https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool，我看专业人士的分析，很多看不太懂，大致理解病毒是可以自我保护，你杀了进程，它通过定时任务还会启动，你修改定时任务，它在自启动程序里还会还原出定时任务，还会从网上下载病毒内容，内容写的很详实，我大概看了分析情况，然后按照给出的解决方法来尝试清除，github上面给出了清除程序，我根据说明将busybox上传到bin目录下。上传方式是将busybox放到一个固定的网络位置，比如xxxx/resource/busybox，然后利用vnc方式登录centos服务器，使用wget方式将busybox下载到centos服务器，同样道理将其它文件也下载centos服务器，然后运行clear_kthrotlds.sh，运行之后，进程没了，重启服务器，结果问题还是存在，kthrotlds进程又出现了。

我换了方式，在腾讯云后台设置服务器的安全组规则，将服务器的入站端口都关闭，只保留登陆用的22端口，将出站端口全部关闭，然后再杀进程，果然，cpu利用率变为小于5%，正常了，再通过top命令查看进程，kthrotlds进程没有了，但出现了好几个wget进程，这是要从网上来下载病毒程序。在腾讯云后台将端口打开，kthrotlds马上就回来了，说明，这个病毒没有清除干净，非常顽固。

问题没有解决，好在上面没有太重要的数据，还是重新安装系统吧，一劳永逸。

3 一些教训

我们碰到一些问题的时候，在解决问题的过程中，我们会学到很多东西。这次解决kthrolds挖矿病毒，虽然没有成功清除，也学到了不少centos操作知识，以及挖矿病毒方面的知识。分析了一下网上的解决方案没有奏效的原因，解决方案是3月初公布的，我的病毒发作是在4月底，可能是病毒有了变种或者更新，在没有彻底掌握病毒的前因后果，不能针对性的清除病毒文件，总的来说还是对centos操作系统原理不够熟悉，如果耐心的多看看病毒分析报告，然后再查查相关资料，彻底掌握病毒的原理，然后再慢慢清除，应该能够解决问题，但花费的时间会非常多，最终放弃是因为精力没有放到这上面，还想继续使用服务器，也就是直接重装系统来的方便。

亡羊补牢，出现问题了，我们还是要总结一些经验教训，杜绝以后再发生类似的情况。

3.1要勤备份

我这个服务器上面主要资料就是测试用的数据库mysql，上面有一些数据，好在平时在局域网测试的时候，也有一些备份，可能数据不够新，但还能用，当然如果是每天备份，可能会更好一些。而且，养成勤备份的习惯，我们可以应对一些突发状况，能够减少损失。这个问题，可以查查资料，看能不能写个定时任务，让数据库每天在固定的时间进行备份，或者手工备份。

3.2 设置好防护措施

病毒一般都是通过服务器的某些端口进行攻击，特别是中招之后，病毒会把这个服务器作为一个病毒源，去感染其它机器，所以做好防护工作，不仅是对自己的服务器负责，也是对他人的服务器负责。防护措施简单的来说可以有两个方面，一个是在后台，也就是腾讯云的安全组设置，设置服务器的入站规则和出站规则，入站规则可以逐步对使用的端口进行开放，对自己了解的端口进行开放。

出站规则可以全部开放，不影响使用，如果中招了，就要对出站规则进行梳理调试。

再一个就是服务器的防火墙的设置，centos7的防火墙用的是firewall。

systemctl start firewalld #开启

systemctl status firewalld #查看状态

systemctl enable firewalld #开机自启动

firewall-cmd --zone=public --add-port=80/tcp --permanent #永久开启80端口

firewall-cmd --zone= public --remove-port=80/tcp –permanent #永久关闭80端口

firewall-cmd --zone=public --list-ports #查看所有打开的端口

firewall-cmd –reload #重载后生效

通过防火墙来设置开放某些端口，这样能够控制外部程序的非法访问。

通过两层控制端口的开放和关闭，默认关闭端口，只有在使用的时候，明确知道外部访问服务器要通过哪个端口，我们再开放它，这样操作比较安全。

3.3 谨慎安装软件

这次的挖矿病毒，主要的问题应该是出在redis上面，服务器上安装了redis，但对软件不太了解，为了能尽快使用，在网上直接找了点资料，把访问权限全部放开，没有深入的评估一下软件的安全问题，挖矿病毒就是通过redis的漏洞，攻击服务器，如果绑定ip，不对所有的网络放开，可能会更安全些。还有就是没有设置密码，这两点很关键。这两个需要设置的内容，通过修改redis.conf实现。利用vi打开redis.conf。比如绑定本机访问和设置访问密码123456，则修改两个地方。

bind 127.0.0.1

requirepass 123456

修改这两个地方之后，进行保存，重启服务

cd /usr/local/bin

./redis-server /etc/redis.conf

这样就完成redis访问ip的控制和密码设置，增强redis的防护。

4 结语

对于服务器来说，安全问题至关重要，很庆幸我的服务器上面没有重要数据，但不能存在侥幸心理，在生产环境中，如果不注意防护，同样存在安全问题。腾讯云或者阿里云这些云服务器商，也会提供一些防护服务，可以有效防止病毒攻击，不过，费用不菲，好像腾讯一个月要小4000，就像房子一样，安全问题是服务器的刚需，在数据为王的时代，如果没有安全保障，数据也就没有了。

对于企业的服务器来说，还是要花钱买安全，做到万无一失，对我们自己用的服务器，也是要在技术上谨慎处理，尽量减小服务器的安全隐患。