记一次服务器云服务器“kdevtmpfsi“病毒的解决

已于 2022-06-14 08:33:10 修改
阅读量1.6k 收藏 3
点赞数
文章标签: 服务器 运维 腾讯云
于 2022-06-08 17:40:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dark_AK44/article/details/125188858
版权

发现原因

这几天腾讯安全组的监控突然一直没反应,看不到cpu和内存使用情况
在这里插入图片描述
今天空下来决定找找原因,先把这个监控恢复
很简单,腾讯文档走起,云监控文档
安装,启动,如果有的话就重启,然后控制台刷新就可以了。
这个问题解决了,我刷新一看,完犊子,肯定成矿机了
在这里插入图片描述

出现的原因

这个吧,具体我也不太了解,根据我查的资料可能是以下几点

  • 服务器安装的redis镜像有问题,被植入kdevtmpfsi挖矿程序。
  • redis未设置密码、或者密码过于简单
  • 服务器被植入定时任务:下载病毒程序、并唤起,及进程存活监测

解决方案

ssh窗口输入 top查看cpu使用情况
按理来说,这个窗口出来后 输入 k 然后输入 pid 回车 就可以杀死进程了 ,但是毕竟这是病毒,不会那么轻松,这样肯定是不行的
在这里插入图片描述来吧,治标治本的解决办法

  • 编写脚本

vim /tmp/kill_kdevtmpfsi.sh
然后按 i 进入输入状态,将下边的东西粘贴进去

ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi

赋予执行权限
chmod 755 /tmp/kill_kdevtmpfsi.sh 先手动执行一下 杀死再说./tmp/kill_kdevtmpfsi.sh

  • 新增一个定时任务
    首先:查看定时任务:crontab -l
    然后:编辑一个新的定时任务:crontab -e
    接着:输入i进入编辑模式在最尾行插入
    */1 * * * * /tmp/kill_kdevtmpfsi.sh
    最后提醒一下,最好换一个redis镜像

ok 完成

Dark_AK44
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
高效秒解 服务器被注入挖矿代码
最新发布
05-28 720
秒解 服务器被注入 挖矿程序
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 7570
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 1000
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
对挖矿病毒 kdevtmpfsi 的处理办法
weixin_42329623的博客
04-02 1560
对挖矿病毒 kdevtmpfsi 的查找与处理办法
服务器病毒解决方案
04-16
服务器病毒解决方案 服务器病毒解决方案是指对服务器中存在的病毒进行检测、隔离、删除和恢复的过程。服务器病毒解决方案的主要目标是确保服务器的安全和稳定运行,防止病毒服务器的危害。 在服务器中存在...
云服务器异常测试kdevtmpfsi.rar
12-31
云服务器kdevtmpfsi测试版和处理方法 CPU 会大于100%
一次入侵Linux服务器和删除木马程序的经历
09-15
主要介绍了一次入侵Linux服务器和删除木马程序的经历的相关资料,需要的朋友可以参考下
阿里云远程配置Tomcat服务器教程
09-01
本教程关于如何购买阿里云服务器学生价以及使用tomcat在远程主机中配置属于自己的服务器的教程,纯手打资源,免费共享
阿里云linux服务器php环境一键安装包
11-05
阿里云服务器采用Linux系统,为用户提供了一个高效、安全的计算平台。一键安装包针对这种环境进行了优化,确保在Linux环境下快速、无痛地配置PHP环境。 3. **Apache服务器**:Apache HTTP Server(简称Apache)是...
AWS 云服务器kdevtmpfsi挖矿病毒处理方法
qq_38829237的博客
11-17 938
亚马逊云 kdevtmpfsi 挖矿病毒处理
linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
bluesease的博客
12-12 2946
kdevtmpfsi,kswapd0挖矿病毒问题处理
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1259
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
【应急响应】kdevtmpfsi挖矿病毒紧急处置
m0_74272345的博客
12-15 554
师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天录(哈哈哈哈哈哈哈哈哈哈哈)说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个录同时是两条线在做,师姐在找杀毒软件,我在手动处理。
病毒】【CPU使用率为100%】Linux 被 kdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1139
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
挖矿病毒清除 kdevtmpfsi
michaeldongd的博客
01-10 426
阿里云公布分报告,链接地址摘取下重要信息来看的话:其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害极大。
一次云服务器被挂了kdevtmpfsi挖矿病毒解决
从头再来-阿彪的博客
05-26 400
最近服务器的mysql响应总是特别慢,一开始没注意,后来偶然一次打开云后台显示cpu炸了都快,想着肯定是中招了,用top一看果然有个奇怪的kdevtmpfsi进程,搜索了下是挖矿病毒。端口能不开启就别开,别偷懒。像redis这种服务,使用强密码,并且开启保护模式,不允许外网连接。可以写一个脚本检测服务区使用情况,如果异常就用机器人提醒。
一次阿里云ECS服务器图片资源迁移至 阿里云 oss
05-27
好的,您可以先登录阿里云ECS服务器,然后安装OSS工具包,可以使用以下命令: ``` sudo apt-get update sudo apt-get install ossfs ``` 接下来,您需要在阿里云OSS中创建一个Bucket,并且获取您的Access Key ID和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值