Linux系统感染"kdevtmpfsi"病毒如何处理

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量1.6k 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AlawaysOnline/article/details/105071677
版权

最近我的阿里云服务器异常的卡,登陆阿里云服务top命令发现有个kdevtmpfsi进程吃了99%的cpu。

 

然后百度了下kdevtmpfsi,了解到:

kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。

1.杀掉进程并删除文件(杀掉之后还会重新启动)

ps -aux | grep kinsing
kill -9 15693
ps -aux | grep kdevtmpfsi
kill -9 15881
rm -rf /tmp/kdevtmpfsi 
rm -rf /var/tmp/kinsing

  

 2.查找问题源头    
   2.1 查询定时任务

crontab -l

   查询定时任务。并没有发现,可能隐藏在别的地方

  2.2 查询相关文件,发现和docker有关,好的吧,接着去查看docker

find / -name kdevtmpfsi

  

 2.3 查看执行的docker

docker ps

 ubuntu是什么,我从来没装过,看来有可能潜伏在里面

docker inspect 88ec131c4c4e

 查询发现定时任务潜伏在里面,怪不得刚才找不到.

 找到问题解决就方便了

docker stop 88ec131c4c4e --停止容器
docker ps -a             --查询容器的id
docker rm 88ec131c4c4e   --删除容器
docker images            --查询镜像
docker rmi 4e5021d210f6  --删除镜像

大功告成!!!

努力变强的程序员
关注
Linux——kdevtmpfsi(挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9949
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
病毒】【CPU使用率为100%】Linuxkdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1169
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
bluesease的博客
12-12 3014
kdevtmpfsi,kswapd0挖矿病毒问题处理
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1819
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linuxkdevtmpfsi 挖矿病毒入侵
qq_45186545的博客
01-06 2万+
Linuxkdevtmpfsi挖矿病毒入侵一. 错误信息二.解决问题1.首先停掉kdevtmpfsi的程序2.删除Linux下的异常定时任务3.结束kdevtmpfsi进程及端口占用4.删除掉kdevtmpfsi的相关文件 一. 错误信息 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了k...
kdevtmpfsi linux 挖矿病毒 配置root用户禁止ssh登录 修改ssh端口号
熊孩子的博客
04-25 1073
自己买的云主机被挖矿病毒多次入侵,kill掉挖矿进程,过不久就又启动了,而且还有被暴力破解的情况(主要原因是没有禁止root登录,端口号没有更改,容易被黑客扫描到,进而进行暴力破解密码登录,然后植入病毒),所以就总结了一些方法来进行服务器安全加固。 发现问题 1、服务器cpu占用过高 2、服务器被植入恶意脚本病毒 3、服务器被暴力破解 分析造成问题的原因 1、docker镜像未授权访问(究...
linux处理kdevtmpfsi病毒
风水道人
08-12 541
一天发现服务器特别卡top一看 top后会有一个PID可以看到 :90086 kdevtmpfsi有守护进程,单独kill掉kdevtmpfsi进程会不断恢复占用。守护进程名称为kinsing,需要kill后才能解决问题。 #查询关联的守护进程 [root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854 session-5649.scope - Session 5649 of user root Lo...
linux kdevtmpfsi 挖矿病毒处理
qq_16642919的博客
02-26 481
linux kdevtmpfsi 挖矿病毒处理病毒表现新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 病毒表现 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 845
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
kdevtmpfsi样本.zip
03-16
`kdevtmpfsi`是一个知名的Linux系统rootkit,它利用内核漏洞来提升权限,对系统安全构成严重威胁。在这里,我将详细解释`kdevtmpfsi`的相关知识点,包括其性质、工作原理、危害以及防范措施。 1. **什么是...
Linux系统日志采集
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
07-06 5136
本实验任务主要完成基于ubuntu环境使用flume对linux系统进行数据采集工作。通过完成本实验任务,要求学生了解并掌握基本的flume采集数据方法以及配置格式,为后续进一步学习flume其它知识点做基础,也为从事大数据平台运维工程师、大数据技术支持工程师等岗位工作奠定夯实的技能基础。掌握flume的应用原理   掌握flume对日志信息的采集过程本次环境是:Ubuntu16.04+flume-ng-1.5.0-cdh5.3.6Flume是Cloudera提供的日志收集系统,Flume支持在日志系统中定
Linux服务器成功处理kdevtmpfsi挖矿程序,亲测有效!
x-dragon8899的博客
09-04 810
通过 top 命令查看服务器,发现CPU资源使用一直处于100%的状态,原因是kdevtmpfsi进程占用了CPU,现需处理掉这个挖矿程序。发现没有 kdevtmpfsi 进程占用CPU,清理成功!服务器CPU从52%恢复为3.5%!
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1299
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
Linux服务器有挖矿病毒kdevtmpfsi处理
lilifly123的博客
12-17 1254
Linux服务器有挖矿病毒kdevtmpfsi处理 症状表现: 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法: 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运
Linux应急响应-挖矿(kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4798
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿了 服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
linux系统出现kdevtmpfsi或者trace占用cpu100%的问题(有人用你的服务器进行挖矿)
liangshao666的博客
12-26 4679
1.linux系统出现cpu100%的问题 1.车祸现场还原 2.输入如下命令 然后 netstat -antpl |grep 5912 *3.复制ip地址178.170.189.5 * 如图操作 4.发现被黑客攻击 * 如果使用kill -9 pid 不好使的话,就是殺不死的話进行如下 5.使用如下操作 6.发现crontab -e 无可疑定时文件即可、或者将可疑的定时文件删除,本...
Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理
qq_24794401的博客
02-20 2532
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tm...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值