挖矿病毒 kdevtmpfsi 处理

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量845 收藏 2
点赞数
文章标签: linux 运维 数据库 java centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/owenzhang24/article/details/122234025
版权

我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战

症状表现

服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。

image.png

排查方法

首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命令查看,见下图。

image.png

PS:通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevt

最低0.47元/天 解锁文章
owenzhang24
关注
Ubuntu18.04 进程和cpu占用都正常,中了kdevtmpfsi(B特B)挖矿M马B毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
08-02 1948
Ubuntu物理机服务器SHA1文件大小3710448字节SHA256文件类型elf恶意类型挖矿病毒家族/团伙。
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1819
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linuxkdevtmpfsi 挖矿病毒入侵
qq_45186545的博客
01-06 2万+
Linuxkdevtmpfsi挖矿病毒入侵一. 错误信息二.解决问题1.首先停掉kdevtmpfsi的程序2.删除Linux下的异常定时任务3.结束kdevtmpfsi进程及端口占用4.删除掉kdevtmpfsi的相关文件 一. 错误信息 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了k...
kdevtmpfsi linux 挖矿病毒 配置root用户禁止ssh登录 修改ssh端口号
熊孩子的博客
04-25 1073
自己买的云主机被挖矿病毒多次入侵,kill掉挖矿进程,过不久就又启动了,而且还有被暴力破解的情况(主要原因是没有禁止root登录,端口号没有更改,容易被黑客扫描到,进而进行暴力破解密码登录,然后植入病毒),所以就总结了一些方法来进行服务器安全加固。 发现问题 1、服务器cpu占用过高 2、服务器被植入恶意脚本病毒 3、服务器被暴力破解 分析造成问题的原因 1、docker镜像未授权访问(究...
php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式
weixin_42165712的博客
03-11 623
中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。处理方法:1. 查看占用高的进程。# top2. 排序按下1,找到占用高CPU的进程后,Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3444
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
confluence挖矿病毒kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3573
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
Linux服务器成功处理kdevtmpfsi挖矿程序,亲测有效!
x-dragon8899的博客
09-04 810
通过 top 命令查看服务器,发现CPU资源使用一直处于100%的状态,原因是kdevtmpfsi进程占用了CPU,现需处理掉这个挖矿程序。发现没有 kdevtmpfsi 进程占用CPU,清理成功!服务器CPU从52%恢复为3.5%!
CentOSkdevtmpfsi病毒
jinglinggg的专栏
12-06 1356
CentOSkdevtmpfsi病毒,几日的查杀,最终失败!
linux处理kdevtmpfsi病毒
风水道人
08-12 541
一天发现服务器特别卡top一看 top后会有一个PID可以看到 :90086 kdevtmpfsi有守护进程,单独kill掉kdevtmpfsi进程会不断恢复占用。守护进程名称为kinsing,需要kill后才能解决问题。 #查询关联的守护进程 [root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854 session-5649.scope - Session 5649 of user root Lo...
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1299
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
Linux服务器有挖矿病毒kdevtmpfsi处理
lilifly123的博客
12-17 1254
Linux服务器有挖矿病毒kdevtmpfsi处理 症状表现: 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法: 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运
redis 漏洞攻击 病毒程序 kdevtmpfsi
qq_17056391的博客
03-10 324
一个redis 程序占用cpu 46%,虽然redis-server 有定时清理过期的键,但也不会占用这么高的CPU吧,一般都是0.3% 看看这个进程什么鬼 systemctl status 14561 然后找到了它的父亲进程 在 /var/tmp/kinsing 杀掉进程没用 还会重启 解决办法关闭redis 杀掉进程 删除病毒文件,最好是删除redis然后重装redis ,redis修改下默认的端口,一定要给redis设置上密码 ...
Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理
qq_24794401的博客
02-20 2532
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tm...
Linux应急响应-挖矿kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4798
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿了 服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
linux系统的workminer挖矿病毒如何处理
04-15
对于这个问题,我可以给出以下建议:首先,您可以安装杀毒软件对系统进行全面扫描和清理。其次,您可以关闭所有不必要的端口,以减少矿工病毒的入侵风险。最后,您可以采取安全措施来保护您的计算机系统,比如定期更新防病毒软件和系统补丁,以及加强密码安全等。但请注意,以上建议都是基于技术性的分析和参考,具体操作还需根据您的个人实际情况而定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值