【应急响应】kdevtmpfsi挖矿病毒紧急处置

最新推荐文章于 2024-05-05 20:37:48 发布
最新推荐文章于 2024-05-05 20:37:48 发布
阅读量542 收藏 1
点赞数 3
文章标签: 网络安全 安全 安全威胁分析 linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74272345/article/details/135023609
版权

事件起因

师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天记录(哈哈哈哈哈哈哈哈哈哈哈)
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的
第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个记录
同时是两条线在做,师姐在找杀毒软件,我在手动处理

过程

CPU 100%了,那当然直接看top,发现一个名为kdevtmpfsi的占用很高

top

![[1e0dd206ede2fb20bfdd5ec7b926289.png]]

查看PID对应的可执行程序,没有回显

lsof -p 13348

![[db013d37a0f18c8b2ef29922f1665b9.png]]

这里我直接kill了

kill -9 13348

但还是没多久就又复活了,这里用了top -c这个命令看进程信息
![[54cd9ccf2026c47239fa31c6c60c2bc.png]]

最近打渗透比较多,所以去找了一下定时任务(第二次复活的PID没有记录下来,先用这个代替)

crontab -l

发现一个/root/.acme.sh
![[6414db43585e06d13358b02790f47c1.png]]

但是这貌似与木马无关
![[8c744da28095042dc37d19babcedc4d.png]]

这时候师姐那里装好了杀毒软件ClamAV,结果没杀掉
![[1b82aca51b9393ce59871c79e0d2601.png]]

这个时候考虑到有守护进程

ps -ef | grep kdevtmpfsi

在这里插入图片描述

看到所有的kdevtmpfsi都指向同一个PPID(父进程)27039,把27039进程kill了

kill -9 27039

在这里插入图片描述

可以看到CPU不再是100%,恢复了正常
现在需要找到木马文件,但是进程已经被杀死了,没有办法通过

ps -aux | grep kdevtmpfsi  
ps -aux | grep kinsing

来定位木马文件,这里只能用find搜一下了
![[7154e2c6f016bdb6f6ea56b07d95d58.png]]

定位到/var/lib/docker/overlay2路径下
![[f0e89bba24e91993516b9e734d78055.png]]

直接删除了这两个文件

rm -rf kdevtmpfsi  
rm -rf kinsing

之后CPU占用正常,也没有可疑进程在跑,所以应该是处理完了,但是黑客攻击docker中部署的Web项目的过程没有搞清楚,怎么种的马也没有搞清楚,所以不能算完整的应急响应吧,只能说是紧急处理了一下挖矿木马

WelK1n_
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
勒索病毒应急响应自救手册.docx
06-10
勒索病毒应急响应自救手册
linux服务器 kdevtmpfsi solrd 病毒处理 记住一定要多删除几次。重启
Super_man54188的博客
02-20 1010
所有中病毒 无非是cpu内存占用高 一定要断公网地址 修改root密码 删除history历史记录 history -c 映射端口也要注意 solrd病毒 公司服务器负载突然上来了,用top命令查看,发现了一个很诡异的进程 然后grep这个进程的进程号,发现是运行在/tmp/.solr/solrd下;于是赶紧杀进程,删程序,负载就下来了;但是还没有完,用top命令再次查看的时候惊...
Linux【问题记录 03】阿里云+腾讯云服务器kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理
最新发布
2401_83974173的博客
05-05 711
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
根治Linux服务器病毒kdevtmpfsi挖矿病毒解决方法
weixin_42901282的博客
04-20 88
【代码】【无标题】
挖矿病毒清除)kdevtmpfsi 处理
可乐要加冰!!!
03-19 1346
挖矿病毒清除)kdevtmpfsi 处理
linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
bluesease的博客
12-12 2919
kdevtmpfsi,kswapd0挖矿病毒问题处理
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 996
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
挖矿病毒 kdevtmpfsi 的处理办法
weixin_42329623的博客
04-02 1548
挖矿病毒 kdevtmpfsi 的查找与处理办法
AWS 云服务器kdevtmpfsi挖矿病毒处理方法
qq_38829237的博客
11-17 922
亚马逊云 kdevtmpfsi 挖矿病毒处理记录
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1245
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
勒索病毒应急与响应手册
01-01
勒索病毒应急与响应手册 本手册旨在帮助用户和企业防御和应对勒索病毒的攻击,提供了一系列的防御和响应策略。手册共分为四章,分别介绍如何判断是否已感染勒索病毒,如何进行应急响应,如何处理已加密系统,以及...
病毒蠕虫事件应急响应服务现场操作手册
04-07
病毒蠕虫事件应急响应服务现场操作手册
病毒爆发应急处置预案-计算机病毒防治
08-17
病毒爆发应急处置预案--计算机病毒防治
CentOS中kdevtmpfsi病毒
jinglinggg的专栏
12-06 1332
CentOS中kdevtmpfsi病毒,几日的查杀,最终失败!
IDEA连接阿里云ECS运行的docker,及处理挖矿病毒kdevtmpfsi的经历
qq_40662424的博客
03-01 1284
文章目录前置条件docker版本:1.13.1相关参考文章1.修改docker相关配置1.1 修改docker配置文件1.2 重新加载配置文件1.3 重启docker2.配置阿里云ECS开放端口23753.配置IDEA连接Docker 前置条件 docker版本:1.13.1 相关参考文章 https://blog.csdn.net/qq_34404388/article/details/103739870 https://blog.csdn.net/lovoo/article/details
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
张火火博客
05-31 1777
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
记一次解决kdevtmpfsi挖矿病毒
u010737670的博客
05-10 945
ikdevtmpfsi病毒不断出现的解决历程。。。
【Redis之轨迹】记录一次 Linux 服务器惨遭挖矿的经历 [kdevtmpfs](Redis 安全问题)
Ice__Clean的博客
09-30 391
Redis 漏洞说明 Redis 默认情况下,会绑定在 0.0.0.0:6379,在没有利用防火墙进行屏蔽的情况下,将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,将导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。 攻击者在未授权访问 Redis 的情况下利用 Redis 的相关方法,可以成功将自己的公钥写入目标服务器的 ~/.ssh 文件夹的 authotrized_keys 文件中,进而可以直接登录目标服务器。如果Redis服务是以roo.
如何杀掉kdevtmpfsi挖矿进程
点点滴滴的博客
12-26 8398
1、top 找到挖矿程序进程号 2、systemctl status 进程号 根据上面的进程号找父程序 3、关掉Active变色字体下面的进程(4-5) 4、rm -rf /tmp/kdevtmpfsi 删除掉这个东西 5、kill -9 进程号 ps -ef|grep kinsing查询进程号 6、kill -9 top里面的主挖矿进程号 ...
linux系统病毒应急处置措施
06-28
### 回答1: Linux系统是开源操作系统,拥有高可靠性和高安全性,同时其用户群体广泛,使得攻击者很难找到可利用的漏洞。但是,随着对Linux系统的依赖度增加,攻击者对于Linux的攻击也越来越频繁。在这种情况下,Linux系统管理员需要采取一系列的病毒应急处置措施,以保护系统的安全。 第一步是快速处理已知病毒,尤其是病毒首次出现时的处理,防止其进一步传播。这包括立即启动反病毒软件,更新病毒库,执行全盘扫描等操作,清除所有已检测到的病毒文件。 第二步是进行分析病毒的特征和行为。管理员需要对病毒的代码进行分析,以了解它的工作原理、传播方式和影响范围,并寻找可行的清除方案。 第三步是进行系统修复和恢复。管理员需要在清除病毒后安装所有缺少的安全更新和补丁,并且确保系统设置得到了正确配置。如果被感染的文件已被破坏,需要使用备份文件恢复文件系统。 第四步需要加强全球网络安全监管能力,同时加强安全教育,提高用户的安全意识。管理员需要时刻保持对Linux操作系统安全的关注,及时更新系统补丁,增强防御能力。 总之,对于Linux系统管理员而言,保护系统安全的关键在于预防和快速响应,及时采取病毒应急处置措施,为系统提供更全面更有效的安全保障。 ### 回答2: Linux系统因为其开放性和安全性而广受欢迎,但是也不是绝对安全的。虽然Linux系统很少遇到病毒攻击,但是也不排除遭到攻击的可能性。因此,在使用Linux系统时要做好病毒应急处置措施,以确保系统的安全性。以下是Linux系统病毒应急处置措施: 1. 立即断开外网连接:一旦发现系统感染病毒,立即断开外网连接,防止病毒进一步蔓延和攻击用户机器。 2. 停止相关服务:如果系统采用的是服务端,为了防止病毒利用系统漏洞进一步扩散,需要立即停止被攻击的相关服务。 3. 清除病毒文件:通过杀毒软件或手动方式清除病毒文件。 4. 修复受损的系统文件:一旦发现系统文件被篡改或受到破坏,需要采取相应措施修复文件。 5. 更新补丁:可以通过更新补丁来防止类似病毒攻击再次发生。 6. 加强安全性:在继续使用Linux系统之后,加强安全性,例如修改防火墙设置和加强密码安全性等。 总之,预防Linux系统病毒攻击非常重要。如果不幸发生病毒攻击,需要及时采取应急处置措施,恢复系统安全并防止再次发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值