kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除

最新推荐文章于 2024-03-19 19:34:58 发布
VIP文章 最新推荐文章于 2024-03-19 19:34:58 发布
阅读量3k 收藏 8
点赞数 2
文章标签: linux centos 运维 shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37587869/article/details/112182308
版权

最近照例巡检服务器情况,当看到cup 直接飙到100%,像脉搏监视器检测到人没有心跳了一样,全是直线,吓我一身冷汗,预感大事不妙!继续查看发现是一周前19点左右开始的,这就很奇怪,cpu 跑100%,商城竟然没有挂掉(虽然是地方小商城,但用户量也有10万加,要是挂了后果不堪设想),真是不幸中的万幸。发现是中了木马,有人在服务器上挖矿kdevtmpfsi。然后百度了一圈,下面综合各位大神的办法,最终解决,总结一下

1.首先,top 系统进程

2.接着输入命令 systemctl status 12625,查看具体进程
也可以分别用以下两个命令查看进程
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

3.分别kill 掉这两个进程,一定要两个都kill掉,刚开始处理的时候只kill了主进行,没有处理守护进程,导致一会又挖矿机器又启动开始工作,cpu 又跑到100%
kill -9 5140 -9是彻底结束这个进程
kill -9 12625

4.删除两个进行的执行文件
rm -rf /tmp/kinsing
rm -r /tmp/kdevtmpfsi
服务器不同,可能路径不同,可以直接用命令查找
find / -name kdevtmpfsi
find / -name kinsing
找到后按照路径直接删除

5.查看kdevtmpfsi文件存在/tmp目录下,这边已将kdevtmpfsi

最低0.47元/天 解锁文章
再次写代码
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kdevtmpfsi挖矿病毒解决过程
weixin_43233341的博客
03-03 2875
top 开始cpu消耗在百分80左右,有时会达到99,杀掉进程后几分钟又跳出来, 开始的升级阿里云的高级版,一键查杀,cpu瞬间降到20 继续跟踪。。。 大概两个小时后发现,kdevtmpfsi进程会时不时跳出来,一两秒钟后又自动关闭,此时cpu 再百分20到百分40直接上下波动,如图(正常情况下是稳得) 解决方法 kdevtmpfsi守护进程守护进程名称为 kinsing,需要kill后才...
confluence挖矿病毒kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3418
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
kdevtmpfsi ,kinsing xxxx 挖矿病毒清理
在IT技术的世界,天天向上↑
01-02 8262
1、top找到挖矿程序(kdevtmpfsi)进程号 CUP 占用100% 若是服务器本身(非容器如docker内)被挖矿 则参考 杀死这个线程 ps -ef |grepkdevtmpfsi ps -ef |grep kinsing 直接kill -9 (PID) 把这个线程干掉了 过一阵子又回来了..... 甚至 find / -name kdevtmpfsi 发现再 ...
云服务器异常测试kdevtmpfsi.rar
12-31
云服务器和kdevtmpfsi测试版和处理方法 CPU 会大于100%
挖矿病毒清除)kdevtmpfsi 处理
最新发布
可乐要加冰!!!
03-19 1240
挖矿病毒清除)kdevtmpfsi 处理
服务器中挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 806
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器中挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
Linux应急响应-挖矿kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4385
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿了 服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1222
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 974
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
linux如何清理挖矿程序,如何彻底清除kdevtmpfsir挖矿程序 ?
weixin_30019895的博客
05-07 819
首先说说我的处理过程:第一步就是找到可耻的程序文件并且删掉find / -name kdevtmpfsifind / -name kinsingrm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/diff/tmp/kdevtmpfsirm -f /var/li...
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
处理处理kdevtmpfsi挖矿病毒以及他的守护进程kinsing
Owen_goodman的博客
12-27 8317
服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi占用导致的,此进程为挖矿程序。 处理步骤如下: kdevtmpfsi 进程处理: 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外i...
病毒清理方法集锦
BY的博客
06-15 565
zd 25128 1 97 8月01?zd 23244 1 0 8月01?查看top,看有什么遗漏没有。如果发现还有大量未知的shell运行,进行批量删除即可。一般病毒都都有守护进程,你杀掉会重新启动,必须删除文件的同时,去掉可能存在的定时任务。1.kdevtmpfsi病毒进程(挖矿)导致CPU过高。把这个定时任务删除,同时杀掉上面的进程。
linux服务器被挂码--kdevtmpfsikinsing,笨办法解决
zhoufenguang的博客
08-13 957
服务器cpu突然被占满,进程中包含kdevtmpfsi,或者kinsing,那么应该是被挂码了,网传是一种挖矿病毒;试过网上几种办法都没有彻底杀掉,只好使用一个笨办法了; killking.sh #!/bin/bash function kmpro() { pids=$(ps aux | grep -w $1 | grep -v grep | awk '{print $2}') for pid in $pids do kill 9 $pid >/dev/
linux watchbog挖矿病毒处理
起而行动,方能平定心中的惶恐
10-10 340
1,关掉病毒远程服务器访问权限 iptables -A INPUT -s pastebin.com -j DROPiptables -A OUTPUT -d pastebin.com -j DROP crontab -l 查看所有定时任务在病毒创建的定时任务中可以看到服务器网址 2 find / -name watchbog 搜索病毒所在文件夹 3 ...
记录下云服务器kinsing,kdevtmpfsi,kthreaddk等病毒的处理与个人所得
feng_ling_97的博客
12-13 5318
记录下云服务器kinsing,kdevtmpfsi,kthreaddk等病毒的处理与个人心得至于怎么发现kdevtmpfsi和kthreaddk此处就不赘述了(不知道的也找不到这里来),此文说下怎么排查处理及后续防护。(懒得截图,主要讲思路)一. kdevtmpfsi获取病毒相关信息及守护进程(图就不截了,按照思路走。此处假设kdevtmpfsi的进程id为15365,kinsing的进程id为15240)由于我的服务器,不同中间件和应用,都是分配的不同用户启动的,很容易就知道病毒从哪来的,所以直接把对应中
阿里云服务器中挖矿病毒了,名称为 kinsing
qq_40215763的博客
05-06 4124
五一本来就没有过好,上班来了第一天同事就说页面打不开了 不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了 赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...
应急响应-挖矿病毒(kswapd0)
weixin_45690589的博客
10-10 1000
应急响应-挖矿病毒(kswapd0)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值