记录Centos感染kdevtmpfsi病毒, 百度无效后, 自我查杀

最新推荐文章于 2023-06-02 20:56:05 发布
最新推荐文章于 2023-06-02 20:56:05 发布
阅读量579 收藏
点赞数
分类专栏: Centos 文章标签: 反病毒 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oDream122/article/details/104821067
版权

特征1: 中了病毒后,疯狂运行CPU

 

运行用户是apache

 

用户资料:

$ cat /etc/passwd

apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin

 

//查看PID对应进程操作

$ strace -p PID  

 

第一次尝试: 先不急着kill掉程序,因为对于病毒kill是没用的

第一直觉肯定是

crontab -l //查看定时任务

crontab -e //修改定时任务

看到第一句就是被恶意修改的定时任务 从xxx.xxx.xx.xxx IP地址获取

马上删掉定时任务,

下一步就是查看该进程中的依赖文件

systemctl status PID

依赖文件分别为

/var/tmp/kinsing

/tmp/kdevtmpfsi

进行删除,删除文件后又被创建

 

第二次尝试: 清除用户, 因为是apache用户, 只能对apache这个软件进行卸载,该用户进行手动删除,重装apache

第三次尝试: 占位文件, 有效但是并不彻底解决

第四次尝试: 找出所有apache用户创建的文件

$ find / -user apache

找到所有文件下, 带有cron关键字的文件

如下一个可疑的: /var/spool/cron/apache

vi 打开马上看见一句 定时任务, 可以确定

 

A了个K
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安全脚本】 centos 下的病毒木马查杀脚本
互联网老辛
09-04 4184
文章目录前言源码解释说明1) clamv 的安装方式2) 常用参数和命令后续总结 前言 病毒木马查杀脚本使用的是clamAV , 它是开源工具包,用于检测特洛伊木马,病毒,恶意软件,以及其他威胁。 特点: 安装使用简单,在centos6下yum安装即可,在centos7下也可以用yum,比6稍微复杂点 支持读写扫描 提供病毒数据更新 可以扫描档案和压缩文件 源码 #!/bin/bash DATE="$( date +%F )" LOGD="${WORKDIR}/log.d" RC=0 DIR=/ D
centos7 安装clamav 进行病毒扫描查杀
夏冬丶王阳旭
05-03 2万+
linux系统常作为服务器系统,已安全著称,但是随着市场占有量的增大,慢慢的linux病毒也还是增多,而对于病毒,一般都是管理员手动分析进行查杀,除了手动分析查杀病毒外,还可以借助杀毒软件进行查杀,就像windows都有杀毒软件一样,liunx的杀毒软件也是有的,但基本上都是开源的小工具,由于本身linux服务器的病毒就较少,且相对windows更难以入侵,所以专门的Linux杀毒软件较少,专门研
kdevtmpfsi 文件删除失败
Xiaoweidumpb
12-09 511
具体步骤。 https://blog.csdn.net/qq_20777573/article/details/104209467 文件删除,详情查看这篇文章 https://blog.csdn.net/qq_41538097/article/details/107653682 记得清空 .ssh 文件夹下的密钥
Linux CentOS 7.2 排查系统木马
jayhidden的专栏
01-28 3089
从未在Linuxxito系统上排查过木马,今天遇到了,记录一下。 首先发现redis里的数据被篡改了,并且 crontab -l 查看计划任务,发现root用户多了像wget,curl这样访问外部链接的东西,然后/var/spool/cron下多了很多tempxxxx.rdb这样的文件,还有.swm,swo文件??? 打开其中的一个rdb文件,又发现了是在远程下载一个sh文件,怀疑这可能是...
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1180
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
对挖矿病毒 kdevtmpfsi 的处理办法
weixin_42329623的博客
04-02 1609
对挖矿病毒 kdevtmpfsi 的查找与处理办法
Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing)
lucas5的博客
12-21 368
大数据服务器,被病毒挖矿。
CentOS 7.5 ISO文件百度网盘下载地址
10-08
CentOS 7.5 ISO文件,text文件中为永久有效分享的百度网盘下载链接地址,若是由于某些原因导致失效,还烦请私信
Centos7镜像-百度网盘下载链接
07-18
Centos7镜像-百度网盘下载链接 CentOS-7.2-x86_64-DVD-1511 CentOS-7.3-x86_64-DVD-1611 CentOS-7.4-x86_64-DVD-1708 CentOS-7.5-x86_64-DVD-1804 CentOS-7.6-aarch64-Everything-1810 CentOS-7.6-x86_64-DVD-1810 ...
CentOS6.8-64位系统-百度云盘链接
05-19
根据提供的文件信息,我们可以推断出这是一篇关于如何获取并安装 CentOS 6.8 64位系统的文章。由于给定的内容非常有限,这里将详细介绍与 CentOS 6.8 64位系统相关的知识点,包括但不限于系统特性、安装过程以及常见...
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
记一次解决kdevtmpfsi挖矿病毒
u010737670的博客
05-10 1019
ikdevtmpfsi病毒不断出现的解决历程。。。
CentOSkdevtmpfsi病毒
jinglinggg的专栏
12-06 1354
CentOSkdevtmpfsi病毒,几日的查杀,最终失败!
服务器中挖矿病毒kinsing的临时处理方法
最新发布
企业数字化转型卫淼全栈技术工作室
06-02 946
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器中挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
【Redis之轨迹】记录一次 Linux 服务器惨遭挖矿的经历 [kdevtmpfs](Redis 安全问题)
Ice__Clean的博客
09-30 413
Redis 漏洞说明 Redis 默认情况下,会绑定在 0.0.0.0:6379,在没有利用防火墙进行屏蔽的情况下,将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,将导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。 攻击者在未授权访问 Redis 的情况下利用 Redis 的相关方法,可以成功将自己的公钥写入目标服务器的 ~/.ssh 文件夹的 authotrized_keys 文件中,进而可以直接登录目标服务器。如果Redis服务是以roo.
Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录
懒得一批的打工人博客
08-17 907
Linux被kdevtmpfsi,pnscan挖矿病毒入侵 记录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告。登陆平台后发现站内信 好在腾讯没有直接停用我的服务器,直接进入服务使用top观察了一会高占用进程 发现kdevtmpfsi 和 pnscan 已经把我的cpu跑满了。 pnscan病毒感染惨状: 使用top & ps & netstat 等等命令,都无法正常使用 CPU基本100%,时不时网络中断 redis端口6379
Centos7/8 kdevtmpfsi病毒处理
weixin_42366275的博客
12-17 697
问题描述: top命令查看,资源被kdevtmpfs占满,导致云服务器大量服务被关 原因分析: 一般都是redis不安全被入侵,建议设置密码,不允许外网访问,因为redis一般是后端使用,后端使用如jar包,jar包访问完全在redis本机访问,访问地址让后端写127.0.0.1即可,或者配置文件在bind选项里面指定访问ip,具体配置看我之前redis教程修改配置文件项即可 解决方案: crontab -r # 清除定时任务 ps -aux |grep kdevtmpfsi |grep -v gr
如何杀掉kdevtmpfsi挖矿进程
点点滴滴的博客
12-26 8446
1、top 找到挖矿程序进程号 2、systemctl status 进程号 根据上面的进程号找父程序 3、关掉Active变色字体下面的进程(4-5) 4、rm -rf /tmp/kdevtmpfsi 删除掉这个东西 5、kill -9 进程号 ps -ef|grep kinsing查询进程号 6、kill -9 top里面的主挖矿进程号 ...
kdevtmpfsi 解决过程
qq_20777573的博客
02-07 3117
问题描述:Linux Centos7.6,昨天突然出现CPU满的情况,如下图: 网上查询各种方案,最终综合整理为以下几个步骤: 1.第一步要先找到这个kdevtmpfsi文件实体,删除。 find / -name kdevtmpfsi#查找后全部删除 #切换到对应目录后删除 rm -f kdevtmpfsi find / -name kinsing#查找后全部删除 2.kil...
CentOS 7安装后初始化指南:添加用户与配置防火墙
"这篇文章主要讲解了CentOS 7操作系统安装完成后如何进行初始化设置,包括创建新用户、赋予管理员权限、调整防火墙与SELinux配置。这些步骤对于确保系统的安全性和管理便捷性至关重要。" 在CentOS 7安装完成后,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值