linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)

最新推荐文章于 2024-04-28 13:16:41 发布
最新推荐文章于 2024-04-28 13:16:41 发布
阅读量2.8k 收藏 6
点赞数 3
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bluesease/article/details/128252239
版权

话不多说上干货

突然发现服务挂了,服务器无法登录,直接在管理平台重启后登录
检查服务器

top  查看当前服务器情况

发现异常,kswapd0把cpu干爆了

 网上查了一圈发现这特喵的是挖矿病毒  惊呆了

接下来是我自己的查询网上以及自己摸索的一些方法

第一步 删除定时器里的定时任务

查询是否有异常的定时任务
crontab -l
如果有可以进行删除
crontab -e 
如果自己没有设置过定时器,直接进行删除
crontab -r

以下我定时器中的异常定时任务

第二步 删除掉定时器中的异常目录

rm -rf /root/.configrc4
rm -rf /dev/shm/.Xkal/.rsync/c/aptitude

第三步 查询异常进程与文件,对其进行删除

find / -name kswapd0
ps -ef | grep kswapd0
查询进程,将相关的进程直接kill -9 pId杀死

第四步 查询挖矿病毒文件

find / -name kdevtmpfsi
对其进行删除,如果删除不掉,可以尝试查询进程
ps -ef | grep kdevtmpfsi
kill掉后再进行删除,如果再无法删除
用chattr去掉文件属性
chattr -i kdevtmpfsi
直接对文件进行删除

第五步 查询服务器是否有异常的公钥

cat ~/.ssh/authorized_keys 查看是否有陌生的的公钥,有则删除掉

安全建议
    尽量用密钥连接服务器,禁用账号密码连接,修改默认的22端口。
    封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
    密码增强复杂性,别用什么 1q2w3e之类的,这些都的常用的破戒字典也有的。
    及时修补系统和软件漏洞

观察几天如果没问题就没事了

菜鸟装大神
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
linux vps服务器进程kswapd0与events/0消耗大量CPU的问题
09-15
使用了阿里云的vps服务器网站宕了两次机,发工单给阿里云,发现原因是服务器的CPU 100%了,这也是vps的弊端,内容给的相对小
针对kdevtmpfsi病毒内容的分析与清理
a1308422754的博客
12-28 3万+
中毒症状: 服务器cpu负载升高 top查看进程 会发现一个名为kdevtmpfsi 的程序在占用 杀掉之后重启可以推测有守护进程 排查后守护进程为kinsing 杀掉守护进程 间隔一会又重新启动 定时任务中有每秒都在执行的脚本 要删掉 间隔一星期或者两个星期又卷土重来 建议 挖矿程序可以通过docker镜像下载服务和redis 动态加载配置 获取主机权限 1、平时中间件要绑定内网网卡,禁止bind 0.0.0.0的情况出现 2、用低权限用户启动 3、统一更换常用端口 4、redis设置2.
挖矿病毒清除kdevtmpfsi 处理
可乐要加冰!!!
03-19 1178
挖矿病毒清除kdevtmpfsi 处理
Linux——kdevtmpfsi挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9568
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
kdevtmpfsi挖矿病毒中招与破解
永远sayYES的博客
09-18 3001
一、背景 1. 本人是一名程序员,主要负责后端开发,已经做了10多年程序员了。 2. 本人有一台ECS服务器,在腾讯云上双11买的,2C4G + 5M带宽三年话费1000不到。 3. 平时自己喜欢在上面搭建一些服务玩玩。 二、发现 有一天我在上面安装了hadoop玩,需要创建一个hadoop账号,并且给用户hadoop创建了一个简单的密码hadoop123(我真的是太懒了),同时开放了22端口的ssh服务(HDFS免密登录需要),第二天发现登录ECS机器异常卡顿,敲命令也延迟的厉害。直觉告诉我应该是我电
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 801
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
kdevtmpfsi 处理挖矿病毒清除
Ancoda的博客
04-26 6802
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
服务器Linux挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 2万+
服务器Linux挖矿木马病毒(kswapd0进程使cpu爆满)
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 960
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
挖矿病毒 kdevtmpfsi处理办法
weixin_42329623的博客
04-02 1513
挖矿病毒 kdevtmpfsi 的查找与处理办法
Linux中的交换进程kswapd代码分析.pdf
09-07
Linux中的交换进程kswapd代码分析.pdf
kswapd0进程占用CPU非常高--解决方案.docx
08-13
异常进场占用cpu过高
Linux多线程编程技术
07-10
Linux内核使用内核线程来将内核分成几个功能模块,像kswapd、kflushd等, 这在处理异步事件如异步IO时特别有用。内核线程的使用是廉价的,唯一使用的资源就是内核栈和上下文切换时保存寄存器的空间。支持多线程的...
13 Linux实操篇-网络配置
qq_74289024的博客
04-23 1051
子网ip 与网关。
Linux多进程(五) 进程池 C++实现
Lyajpunov的博客
04-26 807
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux——web服务配置
Xinan_____的博客
04-23 1135
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
Linux:浏览器访问网站的基本流程(优先级从先到后)
最新发布
fox_kang的博客
04-28 614
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
Linux 抽象命名空间(Abstract Namespace)简介
日拱一卒,玉汝于成
04-25 592
与传统的 UDS 不同,抽象命名空间并不在文件系统中创建实际文件,而是仅存在于内核内存中,其名称以 localabstract: 作为前缀。在这个例子中,我们创建了一个名为 my_abstract_namespace 的抽象命名空间,并将其绑定到了刚创建的 Unix 套接字上。要在 Linux 系统中生成一个抽象命名空间,通常需要使用编程语言的套接字 API 来创建一个 Unix 域套接字,并将其绑定到一个以 localabstract: 开头的特殊路径。
如何处理干净kswapd0
09-05
处理干净kswapd0问题,可以尝试以下几个步骤: 1. 检查系统资源使用情况:使用命令`top`或`htop`查看系统中的进程和资源使用情况。确认是否存在任何异常或过高的内存使用。 2. 更新内核和驱动程序:确保你的系统内核和相关驱动程序是最新的版本,可以通过包管理器或官方网站获取最新的更新。 3. 调整内存使用:如果你的系统内存不足,可能导致kswapd0问题。你可以尝试调整内存参数,例如修改内存交换策略、调整虚拟内存大小等。 4. 检查应用程序和服务:某些应用程序或后台服务可能会导致内存泄漏或异常使用,进而引发kswapd0问题。通过检查应用程序和服务,尝试找出可能的问题源头。 5. 清理缓存:使用命令`sync && echo 3 > /proc/sys/vm/drop_caches`清理系统的缓存。这将释放被缓存的文件和页面缓冲区,有助于减少内存压力。 6. 调整内核参数:根据你的系统需求,可能需要调整一些内核参数来优化内存管理。这包括修改swappiness值、调整页面大小等。 7. 检查硬件问题:如果以上方法都无效,可能存在硬件问题。检查内存模块是否损坏,并进行相关修复或更换。 请注意,在处理任何系统问题之前,请务必备份重要数据,并确保你对系统进行充分了解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值