阿里云Centos7.5 被蠕虫病毒挖矿,kdevtmpfsi进程导致CPU使用率爆棚

最新推荐文章于 2024-06-24 16:24:24 发布
最新推荐文章于 2024-06-24 16:24:24 发布
阅读量929 收藏 4
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38181949/article/details/108127933
版权

一、问题

操作系统: 阿里云服务器  Centos7.5
使用top命令查看进程,发现有一个kdevtmpfsi Command进程的CPU占用很大。这个进程并不是自己的一个服务。
使用Kill命令,杀死这个进程之后,再过10几秒CPU进程中又出现了该进程。

在这里插入图片描述

二、解决办法

  1. 查看定时任务列表
# 查看定时任务列表
crontabe -l
# 会发现里边有一个恶心的定时任务

在这里插入图片描述

  1. 删除定时任务
crontabe -e
#删除掉定时任务,wq保存退出
  1. 查看kdevtmpfsi 进程信息
ps -ef|grep kdevtmpfsi
  1. 定位该异常进程信息
systemctl status 进程id

在这里插入图片描述

  1. 删除第4步中的异常文件
rm -rf 文件路径
 
或(删除全部相关文件)
find / -name "kinsing*" | xargs rm -rf
  1. 杀死kinsing 和 kdevtmpfsi进程
kill -9 进程id
  1. 通过clamAV进行查杀(CentOS的标准yum库中已经包含了clamAV)
安装clamAV:yum -y install clamav
 
更新病毒库(需要时间很长,大约20~30分钟):freshclam
 
查杀当前目录并删除感染的文件:clamscan -r --remove
 
查杀当前目录并删除感染的文件:clamscan -r
 
clamAV帮助命令:clamscan help

10 查看进程,发现不再有kdevtmpfsi进程了

top
#按下大写P 进行排序
山顶上的飞机
关注
专栏目录
Centos系统简单的病毒处理
从删库到跑路吧~
08-10 8099
第一次遇到服务器被植入了挖矿程序,慌的一匹。下面说说我处理这个故障的简单操作, 每天早晨上班第一件事就是打开监控,查看服务器资源占用情况,发现我服务器的双核CPU一直占用率100%。 通过xshell连接,使用top命令再次查看确认 这个xig不知道是什么鬼程序,通过群里的大佬说使用 lsof  -p  16241(PID号) 查看下这个进程调用了那些程序; 看完这些才发现还是一脸...
为什么国内互联网公司喜欢用Centos而不是Ubuntu?
睿象云的博客
10-09 1668
几乎所有新手接触Linux时,都会被它的几百个发行版本搞得一头雾水,在众多Linux 版本中,CentOS 和 Ubuntu 可以说是最有名的两个了,而关于这两者的选择也是大家在网络上经常讨论的问题。 比如各大网站都有热门问题:为什么国内互联网公司喜欢用Centos而不是Ubuntu/Debian? 作为一个十多年经验,见证了linux的一路发展的老运维,我总结了三点分享给大家: 企业选择系统的决定性因素是稳定性,但稳定性的本质是钱,谁的钱多,谁就更稳定! Centos就是Rhel的克隆版,背后是Redha
linux centos7 解决挖矿病毒kthreaddk 高CPU占用
m0_66127371的博客
09-30 1799
病毒修复
处理阿里云服务器中的恶意挖矿程序
最新发布
weixin_43268590的博客
06-24 693
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
Centos/Debian 占用CPU100%挖矿病毒清理
lsy1162526799的博客
04-06 1590
Cetnos/Debian 占用CPU100%挖矿病毒清理 ①top命令查看病毒进程,现在它一般由十位数随机字符串组成 找到进程ID,例如7538,执行: systemctl status 7538 其一般会有一个守护进程,如: 'cgroup…/system.slice/cron.service 7542 xxx 7538 xxx’ 在/tmp/.X11-unix/下一般会有记录守护进程id的文件,不为空的里面好像有加密串,可以解密看看 总之: kill -9 7542 kill -9 7538 ②清
linux 流量蠕虫 查杀,linux系统服务器中的蠕虫病毒怎么清除
weixin_34868242的博客
05-15 876
满意答案可以用eset的nod32进行查杀。Linux下的蠕虫病毒与Windows下的蠕虫病毒类似,可以独立运行,并将自身传播到另外的计算机上去。在Linux平台下的蠕虫病毒通常利用一些Linux系统和服务的漏洞来进行传播,比如,Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp这两个安全漏洞进行传播的。防范:防范此类病毒要堵住蠕虫病毒发作的...
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
CentOS 7.5 ISO文件百度网盘下载地址
10-08
CentOS 7.5 ISO文件,text文件中为永久有效分享的百度网盘下载链接地址,若是由于某些原因导致失效,还烦请私信
记一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1655
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
阿里云服务器养只大虫子:Redis漏洞挖矿造成CPU100%的解决办法
Sail__的专栏
01-17 3831
之前在9月份的时候,我的阿里云服务器出现过一次被挖矿的情况,也是cpu爆满,后来发现是因为mysql的漏洞。 当时抓着mysql一顿处理,新建用户,强密码,设权限,nologin,可算是正常了。 这几天又再次出现了被挖矿的情况,今天算是解决了,舒服,下面说下情况。 表现:服务器上的web应用一场的慢,ssh登陆进去top -c查看如下: COMMAN处的[UWcUml]占用cpu100...
【应急响应】kdevtmpfsi挖矿病毒紧急处置
m0_74272345的博客
12-15 581
师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天记录(哈哈哈哈哈哈哈哈哈哈哈)说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个记录同时是两条线在做,师姐在找杀毒软件,我在手动处理。
系统运维安全之病毒自检及防护
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-05 1811
Linux勒索病毒(Linux ransomware)是一种最令人恶心的计算机恶意病毒,它以侵入Linux系统,捆绑文件并要求支付赎金才能释放文件为主要目的,破坏用户的数据,造成数据讹诈。Linux勒索病毒它们的存在已经很长一段时间,但安全警示显示最近活跃度是又开始增加的。感染方式也比过去更先进,它们的攻击目标也更广泛,涉及到Linux系统上的多种文件,包括文档、图片、音频和视频文件等。
深度分析一款新型Linux勒索病毒
pandazhengzheng的博客
02-08 2407
深度分析一款新型Linux勒索病毒
服务器防勒索病毒经验分享
weixin_41451606的博客
01-03 929
企业内部的业务系统服务器是公司正常开展工作的支撑,应重点防护,如果访问行为控制不利,非授权用户可能窃取机密数据、删除和修改业务数据、甚至植入病毒,引起系统中断服务或瘫痪。操作系统漏洞、业务系统漏洞、应用软件漏洞不断被发现,如果不重视安全运维,业务系统服务器将引入风险、遭遇破坏、造成损失。深信达MCK主机加固系统基于可信计算技术,锁定工作场景、实行严格场景白名单控制,受保护的主机只能做白名单规定的事情,任何白名单之外的、陌生程序都无法运行。包括文件服务器、代码服务器、业务系统服务器、数据库服务器等。
IT运维的365天--000做好企业数据安全,防范勒索病毒
zengsir2012的博客
10-01 159
中了勒索之后的痛,别人不懂,只有自己苦苦吞下恶果 这篇文章分享我在中了勒索之后的心得: 1,平时注意网络安全,非必要不要开通多余的端口,以最少最好为安全准则,如果临时要用,用完及时记得关闭,最好做到非必要都不映射端口给外网。 2,外网做的再好内网如果没做好也是等于零,所以平时多给员工普及安全网络知识,不要让员工自己随意下载软件,不浏览危险网站,不打开未知安全与否的邮件附件和程序,尽量避免从内网被突破,内网机器被当肉鸡攻击自家服务器也是崩溃。 3,服务器密码定期更换,不要用简单密码,复杂且未被公开或者
服务器中挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 959
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器中挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值