【kthreaddi】记录一次被木马攻击hadoop后如何解决

最新推荐文章于 2024-01-31 16:23:58 发布
最新推荐文章于 2024-01-31 16:23:58 发布
阅读量592 收藏
点赞数
分类专栏: Linux 文章标签: kthreaddi 木马程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tomonkey/article/details/115455766
版权

服务器上之前的hadoop是用用户tsdb安装的

登录上服务器,运行命令top

Tasks: 135 total,   2 running, 133 sleeping,   0 stopped,   0 zombie
%Cpu(s): 96.8 us,  3.2 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
MiB Mem :   3936.1 total,    113.3 free,   3691.2 used,    131.6 buff/cache
MiB Swap:      0.0 total,      0.0 free,      0.0 used.     57.8 avail Mem 

    PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND                                                               
 101603 tsdb      20   0 2439536   2.3g      0 S 193.3  59.5   4426:26 [kthreaddi]

然后执行查看是什么文件

tsdb@tsdb0127:~$ ls -l /proc/101603/exe
lrwxrwxrwx 1 tsdb tsdb 0 Apr  6 10:26 /proc/101603/exe -> '/tmp/.DeY9M8FQ/[kthreaddi] (deleted)'

之后修改目录权限给root

tsdb@tsdb0127:/tmp$ sudo chown -R root .DeY9M8FQ/
[sudo] password for tsdb:

kill 9 101603结束这个京城,再次查看top之后就CPU没什么问题

top - 10:29:34 up 2 days, 21:34,  1 user,  load average: 1.48, 2.06, 2.14
Tasks: 135 total,   1 running, 134 sleeping,   0 stopped,   0 zombie
%Cpu(s):  0.3 us,  0.5 sy,  0.0 ni, 99.2 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
MiB Mem :   3936.1 total,   2472.3 free,   1345.9 used,    118.0 buff/cache
MiB Swap:      0.0 total,      0.0 free,      0.0 used.   2409.9 avail Mem 

    PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND                                                               
   1122 tsdb      20   0  951404 942312      4 S   0.7  23.4 255:00.30 nq158n0lw                                                             
      1 root      20   0  102124   5352   2228 S   0.0   0.1   0:05.27 systemd

但是这里并没有解决问题。

发现有一个tsdb用户启动的进程一直在,而且名称很奇怪,就是PID=1122的这个,这个进程肯定不是我自己启动的,应该还是属于木马的程序。

此时不要杀掉这个进程,最后才杀掉。因为我试过一次,结果木马程序又重新起来了

然后查看crontab -l是有问题的,这个也不是我装的

tsdb@tsdb0127:~$ crontab -l
* * * * * /home/tsdb/hadoop-3.3.0/share/doc/hadoop/api/org/apache/hadoop/fs/azurebfs/constants/kh1yrkyqgy

如何解决呢?因为我安装的Hadoop已经停止了,所以我直接就rm -rf /home/tsdb/hadoop-3.3.0/

然后再杀掉奇怪的进程

kill -9 1122

最后一步就是去crontab -e删除定时任务

最终,猜测是hadoop的问题,因此我把不必要的端口关闭了,并且换了默认端口。

并且非常建议,不要用root用户去安装相关的软件,否则权限太大会造成病毒更难对付的情况。

Tomonkey
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
启动Hadoop后 没有DataNode进程 的解决方法
09-30
启动Hadoop后 没有DataNode进程 的解决方法。 一篇文章带你快速了解!
linux动态监控进程懂了没?
小洁洁
06-23 588
top与ps类似,他们都是用来显示正在执行的进程。两者最大的不同之处就是top在执行一段时间可以更新正在运行的进程。 基本语法: top +选项 ping是一种网络检测工具,它主要用于检测远程主机是否连接正常,或者两部主机之间的网线或网卡故障。比如 ping 对方·的地址。
记录linux挖矿清除步骤
itoof.com专栏
08-28 814
linux服务器删除 git 导致挖矿程序
服务器病毒排查与处理
最新发布
qq_45669210的博客
01-31 1139
用htop命令发现32个线程被完全占用,但是没有显示相应的进程,怀疑是中病毒了。
linux中top命令参数详解
guiyin1150的博客
03-10 3046
top命令经常用来监控linux的系统状况,是常用的性能分析工具,能够实时显示系统中各个进程的资源占用情况 top各输出参数含义? 一、top前5行统计信息 第1行:top - 00:02:38 up 7 days, 4:48, 4 users, load average: 0.30, 0.31, 0.27 第1行是任务队列信息,其参数如下 内容 含义 00:02:38 表示当前时间 up 7 days, 4:48 系统运行时间 4 users 当前登录用户数 load
学习hadoop遇到的问题(记一次阿里云服务器被恶意挂木马,CPU100%)
小马哥的博客
12-26 733
在我刚开始学习时,把防火墙,安全组都开放了,过了一段时间被挂上了木马。并且杀死进程一会还启动 解决办法 1通过命令netstat -antlp|grep 9002查看端口文件地址,删除可以文件(java文件夹) 2.还得在安全组中关闭hadoop一些对外开放的web页面(可以改变端口号) 3.在/etc/crontab、/var/spool/cron/、/var/spool/cron/cr...
Hadoop实现构建企业级安全解决方案
02-26
当构建企业级安全解决方案(它可能会围绕着与Hadoop数据集交互的许多应用程序和企业级服务)时,保证Hadoop自身的安全仅仅是安全解决方案的一个方面。各种组织努力对数据采用一致的安全机制,而数据是从采用了不同安全...
Hadoop集群datanode磁盘不均衡的解决方案
02-25
因业务需要搭建一个新hadoop集群,并将老的hadoop集群中的数据迁移至新的hadoop集群,而且datanode节点不能全部上线,其中还可能会出现节点上线或下线的情况,这个时候就很容易出现机器与机器之间磁盘的均衡的情况,...
hadoop分区二次排序示例.zip
12-27
在大数据处理领域,Hadoop是一个广泛使用的开源框架,它提供了分布式存储(HDFS)和分布式计算(MapReduce)的能力,使得处理海量数据变得可能。在这个“hadoop分区二次排序示例.zip”压缩包中,我们重点探讨的是...
Linux命令之实时监控系统进程状态top
二木成林
06-12 4325
`top` 命令可以实时显示系统中各个进程的资源占用情况,类似于 Windows 系统下的任务管理器。
hadoop CDH集群漏洞导致服务器被攻击
十色花的博客
08-19 3924
一、背景 5月5日腾讯云安全团队曾针对攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击攻击者可以在未授权的情况下远程执行代码的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例,其中就包含利用该问题进行挖矿,我们针对其中一个案例进行分析并提供响应的安全建议和解决方案。 二、漏洞说明 Hadoop是一个由Apache基金会所开发的分布式系统基础架...
[kthreaddi]挖矿病毒处理,终于解决了!
weixin_41599103的博客
04-02 1万+
云服务器被黑了,kthreaddi这货导致的。 kill后会自动重启。 定时器查看,有定时任务,关闭定时任务,还是会出现新的,每次都是不同的目录。 找到其中一个文件,搞了很长时间才知道是一个elf文件还用upx3.96加了壳。去壳后,从3.91M变成10.23M. 使用strings命令导出到txt文件,惊喜来了,终于找到kthreaddi程序名。文件里的有点看不懂,有大神知道怎么弄吗?(文件下载)(下载不了的话可以评论区留下邮箱,) ...
服务器被挖矿,有command为【kthreaddi】的进程跑满cpu,详细解决步骤
LifeOneOnly的博客
06-02 897
1.使用top命令看到有command为【kthreaddi】的进程,例如12236 2.使用netstat -ltnp命令监听到非法监听的进程,识别方法是xiang'mu
Linux下进程的管理
qq_47656380的博客
07-19 1738
进程的定义:程序是静态的代码文件,进程是指程序运行时的形态,进程是程序的一个副本,进程是有生命周期的(准备期,运行期,终止期) 进程&线程:进程是系统调用的最小单位,线程是进程的最小单位,程序执行流是从上到下贯穿运行的,当进程是多任务,cpu是多核心,多任务应该被cpu的每个核心同时处理,每个核心处理的任务叫线程,线程资源是共享的 进程状态 R(TAKE_RUNING):可执行态(runing,ready) S (TAKE_INTRRUPTABLE):可唤醒休眠 D (TAKE_UNINTRR
处理服务器恶意程序 kthreaddi挖矿
小啊宇的博客
04-12 5198
再次经历了服务器中病毒,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问web界面确实看不到nexus页面 登录服务器之后查看并没有nexus得端口存在,尝试进行启动nexus 一开始都是后台运行 ./nexus start 并看不到报错 只知道运行一会然后就没了 然后操作前台运行 ./nexus run 看到了运行到中间得时候 程序就突然被kill了 这个时候我直接就
Linux - kthreaddi 进程导致CPU超高问题 处理记录
热门推荐
Daopin Blog
03-10 1万+
今天登录到阿里云的服务器时,使用top命令查看系统信息发现有个进程【kthreaddi】把CPU给占满了 登录阿里云控制台查看,发现从凌晨4点左右开始cpu就达到100%: 查看系统的日志(/var/log/message),果然也是从4点30分左右开始有关【kthreaddi】的信息: kthreaddi挖矿 病毒当前投递最终载荷依然为挖矿木马,sysrv模块会在其Guard守护流程内对挖矿进程做保护,当kthreaddi进程不存在,则释放矿机到tm...
记服务器被入侵挖矿病毒kthreaddi处理解决过程思路
lampol
04-01 1万+
今天突然收到很多阿里云发来的短信,然后去看看网站打不开了 cpu直接干到了90%,然后top一下看看 看到 kthreaddi 就大体明白了,前几天也有一个阿里云机器,也是有这个进程 但是当时服务器 还有一天就过期 也没有用,然后就没管。但是今天这个必须要管了。 首先第一步 kill一下进程探探路,发现并没有什么卵用,kill掉后马上又会重启,当然了他们也没有那么傻,好不容易能够入侵,怎么可能那么容易解决。 先去找找这个东西[kthreaddi],是干什么的? ...
kthreaddk挖矿病毒处理
chenxiao17301的博客
08-08 633
kthreaddi
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1665
没成功,只是记录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
Hadoop打开后JPS只有一个进程怎么解决
06-08
如果你在运行Hadoop时只看到一个进程,可以按照以下步骤进行排查: 1. 检查Hadoop配置文件是否正确配置,特别是hadoop-env.sh、core-site.xml、hdfs-site.xml和mapred-site.xml文件。 2. 检查Hadoop的日志文件($...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值