2022.4.04 01:25:59以及2022-04-10 01:58:31云安全中心发现安全告警,查看为恶意脚本代码执行,详情如下图
客户发现异常后与我们沟通,请求我们协助处理。我们与客户沟通后决定在客户授权下进入他们服务器进行处理。
首先通过top命令查看kdevtmpfsi程序跑满了CPU,但因为kdevtmpfsi进程有守护进程,光kill他是kill不掉的,他有一个守护进程kinsing,会检测这个进程是否挂掉,挂掉就会重新被拉起来,因此要找到守护进程kinsing这也是客户找我们的原因,客户之前已经kill了进程但是发现仍然还是存在问题。
我们通过pstree -a查看进程树,可以看到开启了大量的定时任务以及守护进程kinsing和kdevtmpfsi
随后kill掉kdevtmpfsi和kinsing进程并清理掉文件
查看定时任务,删除可疑定时任务
自此,病毒处理完毕,后续观察未发现病毒重启。
随后协助客户对环境进行检查,将安全组里的部分端口也进行了清理。
本次病毒是由spring Cloud Gateway远程代码执行CVE-2022-22947漏洞引起,需要升级组件,客户接纳我方建议。
