Linux服务器kinsing挖矿病毒如何彻底清理？

老虎会游泳

一、故障现象
发现ssh服务无法正常连接、还好开启了telnet，可以登陆服务器。
二、病毒样本
见附件（解压密码：52pojie）：
包含kinsing执行程序+libsystem.so动态库+自动脚本rm.sh
链接：https://share.weiyun.com/oe9dWwjV密码：6stbgq

三、根本原因

发现是存在rocketMQ端口暴露在公网，版本4.9；
经查询5.1以下版本是存在被利用的漏洞。


有没有处理类似病毒的快捷方案？昨天在网上查找教程半天才处理好

taoyangui

先查看系统进程状态，是否存在不规则命名的异常进程、异常下载进程，给异常进程终止掉，排查系统开机启动项、定时任务、服务等排查后门，及时打补丁或者升级

doubleMu

我也遇到了类似问题，请问有问题处理链接吗？

老虎会游泳

doubleMu 发表于 2025-11-25 22:58
我也遇到了类似问题，请问有问题处理链接吗？

最后怎么解决的？

doubleMu

老虎会游泳 发表于 2025-12-1 14:11
最后怎么解决的？

没找到合适的教程，用gpt解决的

geesehoward

有了shell脚本，一步步找就行了。病毒很仁慈的利用最常见的crontab创建的每分钟任务，从http://80.64.16.241/rm.sh下载脚本，病毒是从http://194.38.20.42/kinsing下载的，首先可以禁掉这几个IP。病毒的位置在84-118行来动态寻找的，最笨的方法就是所有提到的目录都看看，改删的删，当然要先强杀病毒进程后再删。脚本里面有个容易忽略的CURL_DOWNLOAD_URL="http://194.38.20.42/curl-amd64"，后面会用下载的文件替换你原来的curl文件，如果不清理，病毒可能会被再下载回来，全局搜索curl，全部删除后，重新安装curl。pkill -f sshd病毒强制关闭了sshd服务，所以你ssh登录不了了，重启就好了，脚本里面的killF()强制结束了很多进程，一个个排查即可。autoinit里创建了系统服务，反向stop+disable掉，最后删除/lib/systemd/system/bot.service

Bu4

楼上的大哥讲的挺详细的，我应急排查也是这样整的

CHENZHUQI123

感谢分享