Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量2.5k 收藏 2
点赞数 2
分类专栏: DevOps 文章标签: kubernetes k8s docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24794401/article/details/104410770
版权

症状表现

服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。

排查方法

首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。

PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。

第二步:根据上面结果知道 kdevtmpfsi 进程号是 10393,使用 systemctl status 10393 发现 kdevtmpfsi 有守护进程,见下图。

第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi

事后检查

  • 通过 find / -name "*kdevtmpfsi*" 命令搜索是否还有 kdevtmpfsi 文件
  • 查看 Linux ssh 登陆审计日志。CentosRedHat 审计日志路径为 /var/log/secureUbuntuDebian 审计日志路径为 /var/log/auth.log
  • 检查 crontab 计划任务是否有可疑任务

后期防护

  • 启用ssh公钥登陆,禁用密码登陆。
  • 云主机:完善安全策略,入口流量,一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。物理机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。
  • 本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。
  • 公司有能力可以搭建安全扫描服务,定期检查机器上漏洞并修复。

小结:以上例举几点措施,不全。这里只是抛砖引玉的效果,更多的措施需要结合自己业务实际情况,否则就空中楼阁。

本文由 YP小站 发布!

YP小站
关注
专栏目录
Linux——kdevtmpfsi挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9954
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 851
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
linux中了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 5085
linux挖矿病毒已解决
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 662
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1876
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linuxkdevtmpfsi 挖矿病毒入侵
qq_45186545的博客
01-06 2万+
Linuxkdevtmpfsi挖矿病毒入侵一. 错误信息二.解决问题1.首先停掉kdevtmpfsi的程序2.删除Linux下的异常定时任务3.结束kdevtmpfsi进程及端口占用4.删除掉kdevtmpfsi的相关文件 一. 错误信息 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了k...
kdevtmpfsi linux 挖矿病毒 配置root用户禁止ssh登录 修改ssh端口号
熊孩子的博客
04-25 1077
自己买的云主机被挖矿病毒多次入侵,kill掉挖矿进程,过不久就又启动了,而且还有被暴力破解的情况(主要原因是没有禁止root登录,端口号没有更改,容易被黑客扫描到,进而进行暴力破解密码登录,然后植入病毒),所以就总结了一些方法来进行服务器安全加固。 发现问题 1、服务器cpu占用过高 2、服务器被植入恶意脚本病毒 3、服务器被暴力破解 分析造成问题的原因 1、docker镜像未授权访问(究...
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3448
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
病毒】【CPU使用率为100%】Linuxkdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1171
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
confluence挖矿病毒kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3582
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
Linux服务器成功处理kdevtmpfsi挖矿程序,亲测有效!
x-dragon8899的博客
09-04 814
通过 top 命令查看服务器,发现CPU资源使用一直处于100%的状态,原因是kdevtmpfsi进程占用了CPU,现需处理掉这个挖矿程序。发现没有 kdevtmpfsi 进程占用CPU,清理成功!服务器CPU从52%恢复为3.5%!
linux处理kdevtmpfsi病毒
风水道人
08-12 541
一天发现服务器特别卡top一看 top后会有一个PID可以看到 :90086 kdevtmpfsi有守护进程,单独kill掉kdevtmpfsi进程会不断恢复占用。守护进程名称为kinsing,需要kill后才能解决问题。 #查询关联的守护进程 [root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854 session-5649.scope - Session 5649 of user root Lo...
Linux服务器挖矿病毒
清风弄影
05-19 1万+
linux服务器中了挖矿病毒了,其脚步内容如下,按照脚本内容涉及进行清理。其中XMRSH需要先用chattr -i /tmp/XMRSH修改属性,否则删除不掉。#!/bin/bash#Welcome like-minded friends to come to exchange.#We are a group of people who have a dream.#              ...
linux服务器被植入挖矿病毒后初步解决方案
qq_24274689的博客
07-22 3770
linux服务器被植入挖矿病毒后初步解决方案
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3817
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1307
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
linux系统的workminer挖矿病毒如何处理
04-15
其次,您可以关闭所有不必要的端口,以减少矿工病毒的入侵风险。最后,您可以采取安全措施来保护您的计算机系统,比如定期更新防病毒软件和系统补丁,以及加强密码安全等。但请注意,以上建议都是基于技术性的分析和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值