728x90
반응형
원인파악
특정 시점부터 ssh 접속이 안되길래 로그를 살펴보니 특별한 사유를 알 수 없었습니다.
ssh 접속이 안 되는 건 sshd 서비스가 내려가서 접속이 안되었습니다.
#서비스 연결 상태 확인
netstat -ant | more
#sshd start 명령어
service sshd start
#서비스 연결 상태 재확인
netstat -ant | more위와 같이 sshd를 다시 start 한 뒤 서비스가 내려간 이유를 찾는 과정에서 특정 프로세스에서 cpu 가동률을 높게 잡고 계속 사용 중인 것을 확인하였습니다.
아래 사진과 같이 CPU에 부하를 주는 프로세스는 kdevtmpfsi 였고, 해당 프로세스가 현재 제공 중인 서비스와 무관하게 실행되고 있다는 것을 확인하고 kill 명령어를 통해 강제로 프로세스를 죽여도 몇 분 뒤 재가동되는 것을 확인하였습니다.
#kdevtmpfsi 프로세스 확인
ps -aux | grep kdevtmpfsi
#kdevtmpfsi 프로세스 강제 종료
kill -9 18415
#kdevtmpfsi 프로세스 재확인
ps -aux | grep kdevtmpfsi
tmp 폴더에도 위 사진과 같이 기존에 확인하지 못하였던 파일이 생성된 것을 확인할 수 있었습니다.
[추가적인 검색을 통해 알아보니 해당 프로세스는 malware인 것으로 확인 되었습니다]
해결방안
#pgrep을 통해 해당 프로세스 pid 구하기
pgrep kdevtmpfsi
pgrep kinsing
#echo를 통해 확인
echo 18415
echo 30088
#kill 명령어를 통해 해당 프로세스 강제 종료
kill -9 18415
kill -9 30088
#malware 파일(스크립트) 삭제하기
find / -iname kdevtmpfsi -exec rm -fv {} \;
find / -iname kinsing -exec rm -fv {} \;
#TOP 명령어를 통해 확인
top -d2- pgrep을 통해 해당 프로세스 pid 구하기
- malware 파일 삭제하기
이론상으로만 듣고 보던 malware를 경험하니 매우 당황스러웠습니다...........
728x90
반응형
'Dev > Linux' 카테고리의 다른 글
| [Linux] 계정 생성, 삭제, 비밀번호 설정 (0) | 2023.11.21 |
|---|---|
| [Linux] 리눅스 Hostname 변경하기 (CentOS & Rocky 6, 7, 8) (0) | 2023.11.15 |
| [Linux] 리눅스 파티션 추가 및 디스크 마운트(fdisk) (0) | 2023.07.18 |
| [Linux] 방화벽 포트 개방(firewall) (0) | 2023.07.05 |
| [Linux] job for sshd.service failed because the control process exited (0) | 2023.07.05 |