Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量2.5k 收藏 2
点赞数 2
分类专栏: DevOps 文章标签: kubernetes k8s docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24794401/article/details/104410770
版权

症状表现

服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。

排查方法

首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。

PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。

第二步:根据上面结果知道 kdevtmpfsi 进程号是 10393,使用 systemctl status 10393 发现 kdevtmpfsi 有守护进程,见下图。

第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi

事后检查

  • 通过 find / -name "*kdevtmpfsi*" 命令搜索是否还有 kdevtmpfsi 文件
  • 查看 Linux ssh 登陆审计日志。CentosRedHat 审计日志路径为 /var/log/secureUbuntuDebian 审计日志路径为 /var/log/auth.log
  • 检查 crontab 计划任务是否有可疑任务

后期防护

  • 启用ssh公钥登陆,禁用密码登陆。
  • 云主机:完善安全策略,入口流量,一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。物理机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。
  • 本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。
  • 公司有能力可以搭建安全扫描服务,定期检查机器上漏洞并修复。

小结:以上例举几点措施,不全。这里只是抛砖引玉的效果,更多的措施需要结合自己业务实际情况,否则就空中楼阁。

本文由 YP小站 发布!

YP小站
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux、UNIX有病毒吗?.pdf
09-07
【标题】: "Linux、UNIX有病毒吗?" 【描述】: 本文探讨了Linux和UNIX操作系统是否能够受到病毒感染的问题,以及人们对于这两个系统安全性的误解。 【标签】: Linux 操作系统 系统开发 参考文献 专业指导 在...
kdevtmpfsi 处理挖矿病毒清除)
Ancoda的博客
04-26 7930
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
bluesease的博客
12-12 3011
kdevtmpfsi,kswapd0挖矿病毒问题处理
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 554
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
Linux服务器成功处理kdevtmpfsi挖矿程序,亲测有效!
x-dragon8899的博客
09-04 808
通过 top 命令查看服务器,发现CPU资源使用一直处于100%的状态,原因是kdevtmpfsi进程占用了CPU,现需处理掉这个挖矿程序。发现没有 kdevtmpfsi 进程占用CPU,清理成功!服务器CPU从52%恢复为3.5%!
病毒】【CPU使用率为100%】Linuxkdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1166
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
Linux服务器如何识别移动硬盘?
01-20
常跟服务器打交道的小伙伴,会经常遇到把移动硬盘或U盘上的数据拷贝到Linux服务器上。绝大多数Linux发行版内核支持fat32文件系统,因此我们直接mount即可挂载;然而对于ntfs格式的设备,Linux系统并不支持直接挂载,...
用Python脚本实现对Linux服务器的监控
02-03
目前Linux下有一些使用Python语言编写的Linux系统监控工具比如inotify-sync(文件系统安全监控软件)、glances(资源监控工具)在实际工作中,Linux系统管理员可以根据自己使用的服务器的具体情况编写一下简单实用的...
Linux服务器安装matlab2019b教程
05-08
Linux 命令行安装matlab,Linux服务器安装matlab2019b教程
windows远端连接linux服务器操作步骤
08-09
使用 Termius 软件远端连接 Linux 服务器有很多优势,包括: * 方便易用:Termius 软件提供了简单易用的界面,用户可以轻松地连接 Linux 服务器。 * 高速传输:Termius 软件支持高速的文件传输,用户可以快速地传输...
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 843
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
linux系统出现kdevtmpfsi或者trace占用cpu100%的问题(有人用你的服务器进行挖矿
liangshao666的博客
12-26 4679
1.linux系统出现cpu100%的问题 1.车祸现场还原 2.输入如下命令 然后 netstat -antpl |grep 5912 *3.复制ip地址178.170.189.5 * 如图操作 4.发现被黑客攻击 * 如果使用kill -9 pid 不好使的话,就是殺不死的話进行如下 5.使用如下操作 6.发现crontab -e 无可疑定时文件即可、或者将可疑的定时文件删除,本...
Linux——kdevtmpfsi挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9939
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1297
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
Linux服务器kdevtmpfsi挖矿病毒解决方法
qq_39845279的博客
04-08 1285
转自:Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本_Cupster的博客-CSDN博客_/tmp/kdevtmpfsi 1.编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh; ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 rm
Linuxkdevtmpfsi 挖矿病毒入侵
qq_45186545的博客
01-06 2万+
Linuxkdevtmpfsi挖矿病毒入侵一. 错误信息二.解决问题1.首先停掉kdevtmpfsi的程序2.删除Linux下的异常定时任务3.结束kdevtmpfsi进程及端口占用4.删除掉kdevtmpfsi的相关文件 一. 错误信息 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了k...
Linux服务器挖矿病毒kdevtmpfsi处理
lilifly123的博客
12-17 1253
Linux服务器挖矿病毒kdevtmpfsi处理 症状表现: 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法: 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运
linux系统的workminer挖矿病毒如何处理
04-15
其次,您可以关闭所有不必要的端口,以减少矿工病毒的入侵风险。最后,您可以采取安全措施来保护您的计算机系统,比如定期更新防病毒软件和系统补丁,以及加强密码安全等。但请注意,以上建议都是基于技术性的分析和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值