【应急响应】kdevtmpfsi挖矿病毒紧急处置

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量567 收藏 1
点赞数 3
文章标签: 网络安全 安全 安全威胁分析 linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74272345/article/details/135023609
版权

事件起因

师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天记录(哈哈哈哈哈哈哈哈哈哈哈)
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的
第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个记录
同时是两条线在做,师姐在找杀毒软件,我在手动处理

过程

CPU 100%了,那当然直接看top,发现一个名为kdevtmpfsi的占用很高

top

![[1e0dd206ede2fb20bfdd5ec7b926289.png]]

查看PID对应的可执行程序,没有回显

lsof -p 13348

![[db013d37a0f18c8b2ef29922f1665b9.png]]

这里我直接kill了

kill -9 13348

但还是没多久就又复活了,这里用了top -c这个命令看进程信息
![[54cd9ccf2026c47239fa31c6c60c2bc.png]]

最近打渗透比较多,所以去找了一下定时任务(第二次复活的PID没有记录下来,先用这个代替)

crontab -l

发现一个/root/.acme.sh
![[6414db43585e06d13358b02790f47c1.png]]

但是这貌似与木马无关
![[8c744da28095042dc37d19babcedc4d.png]]

这时候师姐那里装好了杀毒软件ClamAV,结果没杀掉
![[1b82aca51b9393ce59871c79e0d2601.png]]

这个时候考虑到有守护进程

ps -ef | grep kdevtmpfsi

在这里插入图片描述

看到所有的kdevtmpfsi都指向同一个PPID(父进程)27039,把27039进程kill了

kill -9 27039

在这里插入图片描述

可以看到CPU不再是100%,恢复了正常
现在需要找到木马文件,但是进程已经被杀死了,没有办法通过

ps -aux | grep kdevtmpfsi  
ps -aux | grep kinsing

来定位木马文件,这里只能用find搜一下了
![[7154e2c6f016bdb6f6ea56b07d95d58.png]]

定位到/var/lib/docker/overlay2路径下
![[f0e89bba24e91993516b9e734d78055.png]]

直接删除了这两个文件

rm -rf kdevtmpfsi  
rm -rf kinsing

之后CPU占用正常,也没有可疑进程在跑,所以应该是处理完了,但是黑客攻击docker中部署的Web项目的过程没有搞清楚,怎么种的马也没有搞清楚,所以不能算完整的应急响应吧,只能说是紧急处理了一下挖矿木马

WelK1n_
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 7774
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1410
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
CentOS中kdevtmpfsi病毒
jinglinggg的专栏
12-06 1350
CentOS中kdevtmpfsi病毒,几日的查杀,最终失败!
redis 漏洞攻击 病毒程序 kdevtmpfsi
qq_17056391的博客
03-10 315
一个redis 程序占用cpu 46%,虽然redis-server 有定时清理过期的键,但也不会占用这么高的CPU吧,一般都是0.3% 看看这个进程什么鬼 systemctl status 14561 然后找到了它的父亲进程 在 /var/tmp/kinsing 杀掉进程没用 还会重启 解决办法关闭redis 杀掉进程 删除病毒文件,最好是删除redis然后重装redis ,redis修改下默认的端口,一定要给redis设置上密码 ...
服务器挖矿病毒 kdevtmpfsi(一针见效)
王世凡的技术博客
07-23 1091
附:尝试了许多普通kill 和 rm 操作,发现根本无法解决问题。分析原因在于定时任务为删除掉。 状态:CPU爆满,导致线上服务宕机。 图片是盗的,进程占用是真实的。 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 此时,挖矿脚本大概率定时在你的crontab里面。 crontab -l ,发现异常定时任务,* * *
勒索病毒应急响应自救手册.docx
06-10
勒索病毒应急响应自救手册是指在遭遇勒索病毒攻击后,如何快速响应、处置和恢复数据的指南。该手册涵盖了常见的勒索病毒种类、判断病情的方法、自救和恢复数据的步骤等。 常见勒索病毒种类 1. WannaCry 勒索:...
勒索病毒应急与响应手册
01-01
勒索病毒应急与响应手册 本手册旨在帮助用户和企业防御和应对勒索病毒的攻击,提供了一系列的防御和响应策略。手册共分为四章,分别介绍如何判断是否已感染勒索病毒,如何进行应急响应,如何处理已加密系统,以及...
病毒蠕虫事件应急响应服务现场操作手册
04-07
病毒蠕虫事件应急响应服务现场操作手册》是针对网络安全领域中常见的病毒蠕虫事件而制定的一份详尽指南。这份文档旨在为IT专业人员提供一套实用的、系统的应急响应流程,以保护网络系统免受病毒蠕虫的侵害,确保...
病毒爆发应急处置预案-计算机病毒防治
08-17
病毒爆发应急处置预案--计算机病毒防治
记一次杀毒工作--kdevtmpfsi挖矿病毒
Nickkun的博客
12-28 669
起因:redis配置不安全导致 参考文章: https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 S
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 1024
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
阿里云 kdevtmpfsi挖矿病毒_服务器病毒处理
叶巨岩的博客
07-09 314
1. 首先了解几个事实 病毒进程设置了定时任务,会定时从远程服务器拉取病毒,并执行启动 病毒进程拥有守护进程,杀死主进程后会被守护进程唤醒 黑客能给系统注入定时任务,表明系统或系统内的某些软件存在漏洞(如redis,hadoop)导致黑客能提权 2. 所以解决思路就是 删除系统内的异常定时任务 杀死守护进程后再杀死主进程 关闭非必须的端口,修改各软件的默认端口并设置登录密码,密码使用复杂密码 3. 具体处理步骤如下 top c 查看异常的进程及执行路径 systemctl status 14
Linuxkdevtmpfsi 挖矿病毒入侵
phubing
04-03 703
Linuxkdevtmpfsi挖矿病毒入侵 一. 错误信息 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图三所示 netsta...
清除挖矿病毒 kdevtmpfsi记录
第一天
05-17 377
某日登录服务器,查看到cpu使用异常 负载很高 查看下cpu进程使用情况 kdevtmpfsi 这个进程使用异常 28243 polkitd 20 0 2915868 2.3g 0 S 193.0 29.9 673812:14 kdevtmpfsi ps aux 查看下这个进程的路径 kill -9 28243 删除进程 查看是否存在定时任务 https://blog.csdn.net/qq_45186545/article/details/103853601 http
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
zhoukun915684080的博客
08-24 768
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
kdevtmpfsi 挖矿病毒清除(亲测)
逸雅安然
07-07 4261
废话不多说,直接开始清理 找到矿毒进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 杀死进程: kill -9 PID (杀死两个) 删除Linux下的异常定时任务 crontab -l //查看定时任务 crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除 删除文件 rm -rf kdevtmpfsi rm -rf /var/tmp/kinsing 最后自己可以再检查一下是否还有
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 834
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
病毒爆发应急响应:计算机病毒防治策略
"病毒爆发应急处置预案-计算机病毒防治" 计算机病毒防治是信息技术领域中的关键环节,尤其是在企业运维中心,确保网络安全至关重要。病毒爆发应急处置预案是预防和应对病毒事件的有效工具,旨在降低网络及服务器受...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值