kdevtmpfsi ,kinsing xxxx 挖矿病毒清理

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量8.3k 收藏 7
点赞数 6
分类专栏: centos7 文章标签: 挖矿Kill
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cfm_gavin/article/details/103803448
版权

1、top   找到挖矿程序(kdevtmpfsi)进程号 CUP 占用100%

若是服务器本身(非容器如docker内)被挖矿 则参考 

杀死这个线程

ps -ef |grep kdevtmpfsi

ps -ef |grep kinsing

直接kill -9 (PID) 把这个线程干掉了  过一阵子又回来了.....
甚至 find / -name kdevtmpfsi
发现再 /tmp/kdevtmpfsi 这个文件
然后我们 rm -rf /tmp/kdevtmpfsi 把这个文件删除了
这么一小段时间会没有问题 可是过了一会儿这个线程就又启动了继续把cpu跑满了

2.问题所在
这个线程重复启动的原因是它还有一个守护线程在运行,检测到这个线程挂掉的时候就去重新启动,从而导致我们周而复始的出现这个问题

3.找到线程和守护线程 或其父程序
pstree -a

这时候我们就可以找到kdevtmpfsi线程 和它的守护线程kinsingDsv7Ubga

4.到的并kill线程和它的守护线程

然后直接kill - 9(Pid) 杀死这俩个线程
find / -name kdevtmpfsi
find / -name kinsing

删除其文件


 具体命令:

systemctl status 23437

ps -aux | grep kinsing

ps -aux | grep kdevtmpfsi

kill  -9   23437

kill  -9   18534

cd  /tmp

ls

 rm -rf kdevtmpfsi 

rm -rf /var/tmp/kinsing  记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命令

find / -name kdevtmpfsi

find / -name kinsing

5.查找可疑定时任务
crontab -l

crontab -e删掉不可靠的定时任务

 

 

附:

当用docker 安装redis 且未设置密码 则会经常被植入挖矿病毒程序, 解决办法: redis 设置密码

 

嚛熙
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除
m0_37587869的博客
01-04 3141
最近照例巡检服务器情况,当看到cup 直接飙到100%,像脉搏监视器检测到人没有心跳了一样,全是直线,吓我一身冷汗,预感大事不妙!继续查看发现是一周前19点左右开始的,这就很奇怪,cpu 跑100%,商城竟然没有挂掉(虽然是地方小商城,但用户量也有10万加,要是挂了后果不堪设想),真是不幸中的万幸。发现是中了木马,有人在服务器上挖矿kdevtmpfsi。然后百度了一圈,下面综合各位大神的办法,最终解决,总结一下 1.首先,top 了下系统进程 2.接着输入命令 systemctl status 12625
XXXX电子商务.docx
11-30
XXXX电子商务.docx
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 7694
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1185
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linux应急响应-挖矿kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4669
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿了 服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1153
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
挖矿病毒 kdevtmpfsi 的处理办法
weixin_42329623的博客
04-02 1568
挖矿病毒 kdevtmpfsi 的查找与处理办法
关于终止XXXX服务的函
06-25
4. 清理与交接:终止前,双方需完成未尽事务,如结算费用、归还财物、数据迁移等。 法律层面,服务合同的终止需遵循《中华人民共和国合同法》等相关法律法规。在终止过程中,双方应确保遵循公平、诚信原则,尊重...
xxxx.rar_tube24XXXX_数码管动态显示
09-19
数码管显示一般分静态显示及动态显示两种驱动方式,静态显示占用口线比较多,本文介绍的是如何实现数码管动态显示,应该说数码管动态显示是单片机外部指令输出的重要途径,因此如何设计数码管以及数码管的工作原理、...
XXXX网站安全管理制度.doc
11-16
XXXX网站安全管理制度.doc
计算机病毒防护管理办法.doc
10-11
XXXX 安全管理制度汇编》中的电脑病毒防护管理方法是一项关键的安全措施,旨在保护组织的信息系统免受计算机病毒的侵害。以下是对该文档主要内容的详细解读: **第一章 总则** 1. **制度目标**:该制度的核心是...
linux服务器被挂码--kdevtmpfsikinsing,笨办法解决
zhoufenguang的博客
08-13 989
服务器cpu突然被占满,进程中包含kdevtmpfsi,或者kinsing,那么应该是被挂码了,网传是一种挖矿病毒;试过网上几种办法都没有彻底杀掉,只好使用一个笨办法了; killking.sh #!/bin/bash function kmpro() { pids=$(ps aux | grep -w $1 | grep -v grep | awk '{print $2}') for pid in $pids do kill 9 $pid >/dev/
服务器中挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 910
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器中挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 828
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
kdevtmpfsi & kinsing 挖矿病毒
chizhou52501314的博客
03-03 1363
一直寄希望于暂时不会被攻击,事实证明互联网不会让你失望,网络险恶,“裸奔”慎重,只要你裸着,肯定会有人发现你,保护好自己最重要
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1268
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独killkdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing
lucas5的博客
12-21 347
大数据服务器,被病毒挖矿
记一次解决kdevtmpfsi挖矿病毒
u010737670的博客
05-10 982
ikdevtmpfsi病毒不断出现的解决历程。。。
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
"上海XXXX-勒索病毒应急响应处置报告 v1.0
上海 XXXX-勒索病毒应急响应处置报告2021 年 02 月 23 日 上海 XXXX-勒索病毒应急处置响应报告目录 1 事件概述 在本次报告中,我们将针对上海 XXXX 公司遭遇的勒索病毒攻击事件进行概述和分析。此次事件于 2021 年...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值