kthreaddi 挖矿病毒处理全过程记录

最新推荐文章于 2024-05-10 10:51:41 发布
最新推荐文章于 2024-05-10 10:51:41 发布
阅读量2.7k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24535757/article/details/115617881
版权

一、问题发现

首先收到阿里云的相关提醒
在这里插入图片描述
服务器上使用top命令进行定位
在这里插入图片描述
阿里云控制台cpu满负荷运行
在这里插入图片描述
查看定时任务
crontab -l # 表示列出所有的定时任务
crontab -r # 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除,执行crontab -l后会提示用户:“no crontab for admin”
在这里插入图片描述
查看进程详细执行链接
在这里插入图片描述
避免服务器长时间高负荷运行,可以先在安全组中将所有对外端口封掉
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、内容分析

传播
很多小伙伴会问,我的物理机放在机房与外网隔离是怎么被渗透的呢?我总结了以下几个我遇到的攻击途径,希望大家给予补充。

openVPN:因为物理机与外网隔离,疫情期间好多同事会选择在家办公,通过vpn来连接内网机器,在以往的记忆当中,openVPN从来没有出现过类似的问题,然而最近一次中病毒的途径就是vpn
jenkins:CICD是目前公司会选择的自动化部署架构,因此jenkins的使用必不可少,最近发现jenkins有漏洞导致挖矿病毒通过构建过程和弱密码方式传播病毒
redis:这种方式大家应该遇到过多次,挖矿病毒会根据扫描6379端口以及跳过密码方式传播病毒

smile灬coder
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
自有服务器(2台)被 kthreaddk木马挖矿解决过程(实操)不重启服务器
wscwsc58888的专栏
12-12 1123
自有服务器被 kthreaddk木马挖矿解决过程(实操)不重启服务器
记服务器被入侵挖矿病毒kthreaddi处理解决过程思路
lampol
04-01 1万+
今天突然收到很多阿里云发来的短信,然后去看看网站打不开了 cpu直接干到了90%,然后top一下看看 看到 kthreaddi 就大体明白了,前几天也有一个阿里云机器,也是有这个进程 但是当时服务器 还有一天就过期 也没有用,然后就没管。但是今天这个必须要管了。 首先第一步 kill一下进程探探路,发现并没有什么卵用,kill掉后马上又会重启,当然了他们也没有那么傻,好不容易能够入侵,怎么可能那么容易解决。 先去找找这个东西[kthreaddi],是干什么的? ...
Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议_阿里云 kthreaddk(1)
最新发布
m0_60707708的博客
05-10 685
最全的Linux教程,Linux从入门到精通第一份《Linux从入门到精通》466页内容简介====本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。
Ubuntu18.04 下kthreaddi病毒处理记录
我叫小麻的专栏
07-15 598
1、初步检查:由于数据库postgres账户通过默认端口号被破解然后启动了病毒 2、第一次处理 postgres账户下的定时器及定时器对应的文件清除 查找进程对应文件的位置的指令 :sudo ls -l /proc/进程号(PID)/exe 3、第二次处理 首先进程处理 a、监控kthreaddi程序,一旦启动就删除 b、期间发现一直重复出现 4、第三次处理 怀疑一直有一个程序启动kthreaddi程序, 通过top | grep postgres指令发现一个可疑的vz...
【Linux挖矿病毒】进程名Kthreaddk, 执行文件名qwieot处理方法
qq_48081868的博客
12-25 2447
项目场景: Linux服务器中挖矿病毒 输入htop,看到cpu使用率达到百分之百。 挖矿进程名:Kthreaddk 挖矿文件名:qwieot 问题描述: 在我快乐地用Linux服务器的时候,突然感觉命令行敲得很卡。输入htop查看原因,发现是cpu使用率达到100,被挖矿程序给占领了。 首先的操作是尝试Kill 掉挖矿进程 ,执行kill -9 PID,但是发现程序会自动重启,很快cpu又满了。 第二,我们可能知道是因为病毒程序设置了 定时任务,执行 #查看定时任务 crontab -l 发现确实系统设
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1660
没成功,只是记录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
[kthreaddi]挖矿病毒处理,终于解决了!
热门推荐
weixin_41599103的博客
04-02 1万+
云服务器被黑了,kthreaddi这货导致的。 kill后会自动重启。 定时器查看,有定时任务,关闭定时任务,还是会出现新的,每次都是不同的目录。 找到其中一个文件,搞了很长时间才知道是一个elf文件还用upx3.96加了壳。去壳后,从3.91M变成10.23M. 使用strings命令导出到txt文件,惊喜来了,终于找到kthreaddi程序名。文件里的有点看不懂,有大神知道怎么弄吗?(文件下载)(下载不了的话可以评论区留下邮箱,) ...
kthreaddk病毒查杀记录
Cookie_1030的专栏
12-15 2027
今日在zabbix上查看到某台服务器的CPU使用率过高(几乎100%)。进入服务器top查看到一个异常的进程kthreaddk。 第一步:kill掉对应pid之后还会继续出现,意识到这是病毒文件,会一直不停的产生。 第二步:ll /proc/pid/exe 查看具体的文件地址,可以直接删除。但发现该文件会自动删除,并再次生成其他文件在另外的目录下,如此不停循环。 第三步:关掉对外的无用端口,看到机器上开了很多的端口对外,但其实本身意义不大,直接在后台对外关闭。 第四步:查看到该进程的管理用户是g..
服务器被挖矿,有command为【kthreaddi】的进程跑满cpu,详细解决步骤
LifeOneOnly的博客
06-02 896
1.使用top命令看到有command为【kthreaddi】的进程,例如12236 2.使用netstat -ltnp命令监听到非法监听的进程,识别方法是xiang'mu
kthreaddk挖矿病毒处理
chenxiao17301的博客
08-08 629
kthreaddi
阿里云CentOS7 %Cpu达到100us,kthreaddi进程处理(已解决)
不爱吃鱼的猫丶的博客
05-24 2157
突然被阿里云短信轰炸,说我服务器因攻击被限制访问部分ip及端口??? 登上ECS控制台,看到CPU使用率100%???? top查看进程发现根本没有进程使用cpu。。。后来转到htop命令才可以看到kthreaddi这货,估计是被挖矿了。 htop命令,Linux系统默认不存在htop工具,可以通过如下命令进行安装。 yum install htop htop的快捷键功能列表如下,比较有用的F5、F6、F9 **功能键 ** 对应功能 说明 F1 Invoke htop Help 查看
[乐子]2 挖矿病毒kthreaddk
addddnb的博客
08-18 151
linux中如何杀掉挖矿病毒,不包含维护
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1149
CentOS处理挖矿病毒 - kthreaddk
阿里云服务器被[kthreaddi]挖矿病毒攻击
chun的博客
05-29 682
首先我根本https://blog.csdn.net/weixin_41599103/article/details/115403332这个博客试了下并没有成功,所以应该是被侵入的程序不一样 先去阿里云里看一下详情 明确告诉了是通过docker被攻击了,先将wordpress容器停止并删除容器和镜像 kill掉进行,如果有定时任务和文件就删掉(命令上面博客里有) 我直接将安全组端口先都关闭了,留下22,然后重启后就好了。 ...
记一次解决阿里云中挖矿病毒(kthreaddk)方法
imning1的博客
06-06 1671
通过top命令查看占用最高的是这个进程,杀掉之后重复操作
kthreaddk解决方案
qq_41882485的博客
05-07 2114
今天服务器突然飙升300%当时人有点麻,查看top中cup使用率发现: 问题kthreaddk这个是啥,百度发现原来是个挖矿病毒,今天也是够头疼的啦,首先遇到这种情况第一件事就是百度,可是百度发现问题并不能得到解决,kill kthreaddk进程还是会重新运行改进程,首先我们需要确定为什么它会重新运行改进程: 1:存在定时任务->排查: 执行命令:crontab -l 发现一个未知文件,使用 crontab -r清除改执行任务,删除文件,在重启crontab:service crond resta
一大早支付宝来短信说你中“奖”了?处理服务器挖矿病毒 - kthreaddi
孙奋斗的博客
07-02 447
处理服务器挖矿病毒 - kthreaddi - 当你服务器出现以下症状,恭喜你中奖了 今天一早打开服务器发现卡的不行,于是使用top命令查看了一番,果然不出所料,服务器被挖矿了,下面带来完整的解决办法! 由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!!! 【 kthreaddi 】是挖矿病毒 不断的写入定时任务 执行操作 先是top命令查占用进程PID 3436直接杀死 但是过一段时间又会自动的建立进程 使用查看
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
weixin_51906455的博客
01-31 201
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
linux centos7 解决挖矿病毒kthreaddk 高CPU占用
m0_66127371的博客
09-30 1745
病毒修复

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值