挖矿病毒清除 kdevtmpfsi

最新推荐文章于 2025-02-27 09:45:55 发布
最新推荐文章于 2025-02-27 09:45:55 发布
阅读量525 收藏 7
点赞数 7
分类专栏: Linux Docker 运维 文章标签: linux 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/michaeldongd/article/details/135499284
版权

挖矿病毒清除 kdevtmpfsi

在使用主机时,突发内存打满情况,心中有了一个不好的预感,果然通过执行 top命令后,发现了一个占用高内存的进程,kdevtmpfsi。后续一查发现是挖矿病毒。

病毒介绍

阿里云公布分报告,链接地址
摘取下重要信息来看的话:

其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。
在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害极大。

问题原因

这台云服务器,是闲来用着搭建些环境,做点东西使用的。之前有用到过redis,所以使用docker安装运行了redis,并开放了6379端口,为了方便也未设置密码。
后续因为不用就给redis停掉了,但是端口一直没关。所以这次也是个警告了,先把所有不用的开放端口先都给禁用掉。

解决过程

先查找病毒相关进程,分别使用如下两条命令。找到进程后,执行kill -9 PID命令,杀掉进程。
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

然后查找是否有相关内容残留,分别执行下方两条命令。如果查找到数据,使用rm -rf命令,删除掉相关内容
find / -name kdevtmpfsi
find / -name kinsing

后续

除非必要,不乱开放端口(不仅是redis)。不用了就立即关掉。
以redis为例,默认6379.可以不使用默认端口号。
不能为了避免麻烦就不设置密码,一定要设置密码,且尽量复杂些。

挖矿僵尸网络蠕虫病毒——kdevtmpfsi的处理过程及数据库
HackGJN的博客
09-27 769
其中,kdevtmpfsi是一种特别具有挑战性的病毒,它利用系统中的kdevtmpfsi进程进行挖矿活动,并且具有自我复制和传播的能力。隔离和停止传播:为了防止病毒进一步传播和感染其他系统,对受感染的主机进行隔离是必要的。日志和审计:数据库可以记录系统的日志和审计信息,包括病毒活动的时间、位置和影响范围等。系统修复和加固:一旦病毒清除,需要对受感染的系统进行修复和加固,以防止未来的攻击。通过使用数据库中的数据,网络管理员可以确保系统中的所有组件都是最新的,从而减少病毒入侵的风险。
kdevtmpfsi 挖矿病毒清除(亲测)
逸雅安然
07-07 4443
废话不多说,直接开始清理 找到矿毒进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 杀死进程: kill -9 PID (杀死两个) 删除Linux下的异常定时任务 crontab -l //查看定时任务 crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除 删除文件 rm -rf kdevtmpfsi rm -rf /var/tmp/kinsing 最后自己可以再检查一下是否还有
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除
m0_37587869的博客
01-04 3299
最近照例巡检服务器情况,当看到cup 直接飙到100%,像脉搏监视器检测到人没有心跳了一样,全是直线,吓我一身冷汗,预感大事不妙!继续查看发现是一周前19点左右开始的,这就很奇怪,cpu 跑100%,商城竟然没有挂掉(虽然是地方小商城,但用户量也有10万加,要是挂了后果不堪设想),真是不幸中的万幸。发现是中了木马,有人在服务器上挖矿kdevtmpfsi。然后百度了一圈,下面综合各位大神的办法,最终解决,总结一下 1.首先,top 了下系统进程 2.接着输入命令 systemctl status 12625
kdevtmpfsi 处理(挖矿病毒清除
Ancoda的博客
04-26 8717
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
zhoukun915684080的博客
08-24 815
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
kdevtmpfsi挖矿病毒中招与破解
永远sayYES的博客
09-18 3187
一、背景 1. 本人是一名程序员,主要负责后端开发,已经做了10多年程序员了。 2. 本人有一台ECS服务器,在腾讯云上双11买的,2C4G + 5M带宽三年话费1000不到。 3. 平时自己喜欢在上面搭建一些服务玩玩。 二、发现 有一天我在上面安装了hadoop玩,需要创建一个hadoop账号,并且给用户hadoop创建了一个简单的密码hadoop123(我真的是太懒了),同时开放了22端口的ssh服务(HDFS免密登录需要),第二天发现登录ECS机器异常卡顿,敲命令也延迟的厉害。直觉告诉我应该是我电
php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式
weixin_42165712的博客
03-11 714
中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。处理方法:1. 查看占用高的进程。# top2. 排序按下1,找到占用高CPU的进程后,Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...
confluence挖矿病毒kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3760
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3637
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
挖矿kdevtmpfsi病毒处理
感冒石头的博客
05-14 1098
通过top命令可以看到kdevtmpfsi导致CPU 700%多,导致该病毒只要是通过redis漏洞进来的。1、该病毒还有守护进程,如果光kill掉该病毒,过段时间又起来的。守护进程:kinsing 2、该病毒还有定时任务、如果光杀死kdevtmpfsi和kinsing没有用,定时任务会再度重启这两个进程。解决办法:1、设置redis只对当前服务器或者指定服务器放开。取消掉 bind 0.0.0.0 设置 bind 127.0.0.1 或者加其他ip ,2、crontab -l ----》可以在...
【应急响应】kdevtmpfsi挖矿病毒紧急处置
m0_74272345的博客
12-15 671
师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天记录(哈哈哈哈哈哈哈哈哈哈哈)说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个记录同时是两条线在做,师姐在找杀毒软件,我在手动处理。
挖矿病毒 kdevtmpfsi 处理--实操
最新发布
读万卷书,行万里路
02-27 126
但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi。首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命令查看,见下图。至此杀毒工作基本进入尾声。
pg kdevtmpfsi挖矿病毒处理
weixin_46551671的博客
09-13 451
自己用废弃笔记本做了一个本地pg数据库,但是某一天笔记本风扇飞转,对于平时不怎么使用的服务器来说,这是一件很神奇的事情。top一下,好家伙,postgres有一个进程cpu给我感到了300多,进程名字kdevtmpfsi
记一次解决kdevtmpfsi挖矿病毒
u010737670的博客
05-10 1146
ikdevtmpfsi病毒不断出现的解决历程。。。
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 1117
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
处理kdevtmpfsi挖矿病毒(转)
cainiao1412的博客
03-31 603
kdevtmpfsi有守护进程,单独kill掉kdevtmpfsi进程会不断恢复占用。守护进程名称为kinsing,需要kill后才能解决问题。 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi kill -9 (kdevtmpfsi PID) kill -9 (kinsing PID) 再把文件给删除掉 可能被挖矿的原因 用别人的...
redis 漏洞攻击 病毒程序 kdevtmpfsi
qq_17056391的博客
03-10 367
一个redis 程序占用cpu 46%,虽然redis-server 有定时清理过期的键,但也不会占用这么高的CPU吧,一般都是0.3% 看看这个进程什么鬼 systemctl status 14561 然后找到了它的父亲进程 在 /var/tmp/kinsing 杀掉进程没用 还会重启 解决办法关闭redis 杀掉进程 删除病毒文件,最好是删除redis然后重装redis ,redis修改下默认的端口,一定要给redis设置上密码 ...
xmrig挖矿病毒怎彻底清除
03-20
为了彻底清除xmrig挖矿病毒,你可以按照以下步骤进行操作: 1. 更新杀毒软件:确保你的杀毒软件是最新版本,并进行全盘扫描。如果你没有安装杀毒软件,建议先安装一个可信赖的杀毒软件。 2. 断开网络连接:为了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

michaeldongd

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值