Linux服务器kdevtmpfsi挖矿病毒解决方法

已于 2022-04-11 12:01:18 修改
阅读量1.2k 收藏
点赞数
文章标签: linux
于 2022-04-08 11:53:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39845279/article/details/124037813
版权
本文介绍了如何清除Linux服务器上的kdevtmpfsi和kinsing挖矿病毒,包括编写清理脚本、删除定时任务、移除异常公钥以及检查并删除相关文件。此外,建议修改SSH端口和禁用密码登录,增强系统安全性。
摘要由CSDN通过智能技术生成

转自:Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本_Cupster的博客-CSDN博客_/tmp/kdevtmpfsi

1.编写脚本 

vim /tmp/kill_kdevtmpfsi.sh
ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi

 修改文件权限

chmod -R 755 *


2.删除Linux下的异常定时任务

crontab -l //查看定时任务
crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除

crontab -e    //新增定时任务
*/1 * * * * /tmp/kill_kdevtmpfsi.sh

3.这一步很重要,很多博主没写:

这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑

vim ~/.ssh/authorized_keys  //打开文件后删除不认识的公钥

4.最后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除
 

find / -name kdevtmpfsi

find / -name kinsing


基本这两病毒进程一唤起,没开挖,就被杀掉,不会占用CPU资源
虽然有效,但毕竟治标,不影响公司业务的时候还是用治本的方案

最后:建议修改SSH原22端口,关闭SSH密码登录,调整为密钥登陆
 

qq_39845279
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
病毒】【CPU使用率为100%】Linuxkdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1153
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
springboot部署linux访问服务器资源的方法
08-25
SpringBoot 部署 Linux 访问服务器资源的方法 SpringBoot 是一个基于 Java 语言的框架,用于构建基于 Web 的应用程序。部署 SpringBoot 项目至 Linux 服务器是开发者们常见的需求。本文将详细介绍 SpringBoot 部署...
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1410
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linuxkdevtmpfsi 挖矿病毒入侵
qq_45186545的博客
01-06 2万+
Linuxkdevtmpfsi挖矿病毒入侵一. 错误信息二.解决问题1.首先停掉kdevtmpfsi的程序2.删除Linux下的异常定时任务3.结束kdevtmpfsi进程及端口占用4.删除掉kdevtmpfsi的相关文件 一. 错误信息 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi进程,CPU使用率为100%,第一次删除干净了k...
kdevtmpfsi linux 挖矿病毒 配置root用户禁止ssh登录 修改ssh端口号
熊孩子的博客
04-25 1067
自己买的云主机被挖矿病毒多次入侵,kill掉挖矿进程,过不久就又启动了,而且还有被暴力破解的情况(主要原因是没有禁止root登录,端口号没有更改,容易被黑客扫描到,进而进行暴力破解密码登录,然后植入病毒),所以就总结了一些方法来进行服务器安全加固。 发现问题 1、服务器cpu占用过高 2、服务器被植入恶意脚本病毒 3、服务器被暴力破解 分析造成问题的原因 1、docker镜像未授权访问(究...
linux处理kdevtmpfsi病毒
风水道人
08-12 532
一天发现服务器特别卡top一看 top后会有一个PID可以看到 :90086 kdevtmpfsi有守护进程,单独kill掉kdevtmpfsi进程会不断恢复占用。守护进程名称为kinsing,需要kill后才能解决问题。 #查询关联的守护进程 [root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854 session-5649.scope - Session 5649 of user root Lo...
Linux服务器tomact 8.0启动慢的完美解决方法
01-20
环境信息: CentOS release 6.8 tomcat-8.0 JDK1.8 一、启动tomcat #sh /root/tomcat-8.0/bin/startup.sh #tailf /root/tomcat-8.0/logs/catalina.out 26-Aug-2017 12:58:31.661 INFO [main] org.apache.tomcat....
python 读取Linux服务器上的文件方法
12-25
使用Python语句,读取Linux远端服务器上的文件打印到控制台的代码实现: 下载包:paramiko import paramiko #服务器信息,主机名(IP地址)、端口号、用户名及密码 hostname = "" port = 22 username = "" password...
Linux服务器操作系统加固方法
09-15
本帮助手册旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固,需要的朋友可以参考下
Linux 查看远程服务器文件状态的方法
01-11
以上这篇Linux 查看远程服务器文件状态的方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。 您可能感兴趣的文章:查看远程 Linux 系统中某个端口是否开启的三种方法linux...
Linux服务器成功处理kdevtmpfsi挖矿程序,亲测有效!
x-dragon8899的博客
09-04 799
通过 top 命令查看服务器,发现CPU资源使用一直处于100%的状态,原因是kdevtmpfsi进程占用了CPU,现需处理掉这个挖矿程序。发现没有 kdevtmpfsi 进程占用CPU,清理成功!服务器CPU从52%恢复为3.5%!
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1273
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
Linux服务器挖矿病毒kdevtmpfsi处理
lilifly123的博客
12-17 1252
Linux服务器挖矿病毒kdevtmpfsi处理 症状表现: 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法: 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运
Linux应急响应-挖矿kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4703
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿服务器Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 834
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
linux系统出现kdevtmpfsi或者trace占用cpu100%的问题(有人用你的服务器进行挖矿
liangshao666的博客
12-26 4676
1.linux系统出现cpu100%的问题 1.车祸现场还原 2.输入如下命令 然后 netstat -antpl |grep 5912 *3.复制ip地址178.170.189.5 * 如图操作 4.发现被黑客攻击 * 如果使用kill -9 pid 不好使的话,就是殺不死的話进行如下 5.使用如下操作 6.发现crontab -e 无可疑定时文件即可、或者将可疑的定时文件删除,本...
linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
bluesease的博客
12-12 2988
kdevtmpfsi,kswapd0挖矿病毒问题处理
linux清除xmrig挖矿病毒
最新发布
07-22
Linux系统上清除XMRig挖矿病毒通常涉及几个步骤,因为这类恶意软件可能会隐藏很深,隐藏文件或修改系统配置。以下是清理流程的一个大概指南: 1. **安全模式启动**:重启计算机并进入安全模式,这有助于防止病毒在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值