查杀kdevtmpfsi挖矿病毒

最新推荐文章于 2024-05-28 17:38:59 发布
最新推荐文章于 2024-05-28 17:38:59 发布
阅读量443 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c123m/article/details/106629781
版权

在阿里云上的云服务器被人植入了挖矿病毒,能过上网查找答案,结合实践。清除病毒步骤总结如下:

1. top找到PID

[root@demo ~]# top
 PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                           
15843 yarn      20   0 2653576   2.3g    996 S 100.0 15.0  11:23.75 kdevtmpfsi

2. 找到与其相关的父PID

[root@demo ~]# systemctl status 15843
● session-102.scope - Session 102 of user yarn
   Loaded: loaded (/run/systemd/system/session-102.scope; static; vendor preset: disabled)
  Drop-In: /run/systemd/system/session-102.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since Mon 2020-06-08 21:43:01 CST; 16min ago
   CGroup: /user.slice/user-984.slice/session-102.scope
           ├─15783 /var/tmp/kinsing
           └─15843 /tmp/kdevtmpfsi

3. kill掉查出的线程

[root@demo ~]# kill -9 15783
[root@demo ~]# kill -9 15843

4. 删除目录

[root@demo ~]# rm -rf /tmp/kdevtmpfsi

5. 删除被侵入的挖矿定时任务

# 查出删除即可
[root@demo ~]# crontab -l -u yarn
[root@demo ~]# crontab -e -u yarn

6. 病毒已删除

 

Richard123m
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
根治Linux服务器中病毒kdevtmpfsi病毒解决方法
weixin_42901282的博客
04-20 111
【代码】【无标题】
服务器中病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 891
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器中病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
高效秒解 服务器被注入代码
最新发布
05-28 720
秒解 服务器被注入 程序
kdevtmpfsi 病毒清除
u010227042的博客
03-11 1000
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
病毒 kdevtmpfsi 的处理办法
weixin_42329623的博客
04-02 1560
病毒 kdevtmpfsi 的查找与处理办法
阿里云服务器中病毒了,名称为 kinsing
qq_40215763的博客
05-06 4246
五一本来就没有过好,上班来了第一天同事就说页面打不开了 不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了 赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...
病毒kdevtmpfsi,kinsing进程隐藏解决
张火火博客
05-31 1813
病毒kdevtmpfsi,kinsing进程隐藏解决
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 蠕虫查杀工具
03-09
lifecalendarworm蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
JJM.rar_病毒 查杀
09-23
加密在系统当前运行的进程里包括:系统管理计算机个体和完成各种操作所必需的进程;用户开启、执行的额外程序进程,当然也包括用户不知道,而自动运行的...了解了哪些是关键进程后,有助于我们找出分辨“黑白”查杀病毒
lpk病毒查杀
12-19
lpk病毒查杀,清除全盘电脑中lpk病毒,包括压缩包内的病毒
U盘病毒查杀
01-20
U盘病毒查杀清理工具,可以用,但不保证所有的都能清理干净,有需要的试试看吧
易语言U盘病毒遗漏查杀
08-22
U盘病毒遗漏查杀系统结构:信息提示框, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||------_按钮1_被单击 || ||------_按钮2_被单击 || ||------_按钮3_被单击 || ||------_按钮4_被单击 || ||
腾讯云服务器遭遇kdevtmpfsi病毒
sunydayshine的博客
06-02 1137
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
如何杀掉kdevtmpfsi进程
点点滴滴的博客
12-26 8408
1、top 找到程序进程号 2、systemctl status 进程号 根据上面的进程号找父程序 3、关掉Active变色字体下面的进程(4-5) 4、rm -rf /tmp/kdevtmpfsi 删除掉这个东西 5、kill -9 进程号 ps -ef|grep kinsing查询进程号 6、kill -9 top里面的主进程号 ...
记一次杀毒工作--kdevtmpfsi病毒
Nickkun的博客
12-28 654
起因:redis配置不安全导致 参考文章: https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 S
大数据篇:这些年大数据组件的一些踩坑和优化总结
yycc
09-09 2391
一些大数据框架使用,维护,优化经验
Linux 服务器上有病毒 kdevtmpfsi 如何处理?
qq_24794401的博客
02-20 2521
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tm...
Linux CPU占用率99%很高被kdevtmpfsi 和kinsing 病毒入侵
小蜜蜂
02-23 3527
目录 一:警告 二:查看cup占用 三:解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4:删除掉kdevtmpfsi的相关文件 四.怎么预防处理这个病毒 一:警告 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为...
linux服务器被挂码--kdevtmpfsi,kinsing,笨办法解决
zhoufenguang的博客
08-13 982
服务器cpu突然被占满,进程中包含kdevtmpfsi,或者kinsing,那么应该是被挂码了,网传是一种病毒;试过网上几种办法都没有彻底杀掉,只好使用一个笨办法了; killking.sh #!/bin/bash function kmpro() { pids=$(ps aux | grep -w $1 | grep -v grep | awk '{print $2}') for pid in $pids do kill 9 $pid >/dev/
linux病毒查杀
09-10
查杀Linux病毒,首先需要识别病毒的特征。根据引用提供的信息,病毒在Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些病毒会控制CPU的占用率,使其保持在50%以下,这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值