kdevtmpfsi木马清除

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: 服务器 文章标签: kdevtmpfsi 木马kdevtmpfsi 挖矿木马 挖矿kdevtmpfsi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39985298/article/details/105317059
版权

近来我的服务器又中了kdevtmpfsi木马

这说明之前写的方法并不可行,于是我又斗智斗勇了好几天……

===============原文====================
这是一个挖矿病毒,通过我docker的redis进入的,一开始没设置密码的隐患啊。
应该配置好密码,做好端口映射,别傻乎乎的用默认的主机端口~

先将相应木马文件删除

sudo find / -name kdevtmpfsi*
sudo rm -rf ...

再将守护进程的文件删除

sudo find / -name kinsing*
sudo rm -rf ...

杀死进程

ps -aux | grep kinsing

sudo kill -9 PID

ps -aux | grep kdevtmpfsi

sudo kill -9 PID

我的定时任务里倒是没发现有什么问题
不过可以检查一下

crontab -l
crontab -e 删除定时任务

还有/etc/rc.local以及/etc/init.d都检查一遍

===============更新====================

经过几天的实验,我很确定木马就是通过docker进来的。

  1. 逐一检查了容器,并没有发现定时下载木马的病毒
  2. 更换了开放端口的容器的端口号和密码

然而毫无卵用,隔一天木马又回来了,难道……docker还有什么后门?又或者我的容器端口号和密码又被破解了???
于是,我直接在云服务器的安全组里关闭了绝大多数端口,只留下了80,443,22等几个常用的端口,然后就再也没中这木马了……

划重点:关闭不必要开放的端口号

无恶不作的黑猫警长
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式
weixin_42165712的博客
03-11 606
中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。处理方法:1. 查看占用高的进程。# top2. 排序按下1,找到占用高CPU的进程后,Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...
如何杀掉kdevtmpfsi挖矿进程
点点滴滴的博客
12-26 8428
1、top 找到挖矿程序进程号 2、systemctl status 进程号 根据上面的进程号找父程序 3、关掉Active变色字体下面的进程(4-5) 4、rm -rf /tmp/kdevtmpfsi 删除掉这个东西 5、kill -9 进程号 ps -ef|grep kinsing查询进程号 6、kill -9 top里面的主挖矿进程号 ...
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1410
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
kdevtmpfsi 文件删除失败
Xiaoweidumpb
12-09 496
具体步骤。 https://blog.csdn.net/qq_20777573/article/details/104209467 文件删除,详情查看这篇文章 https://blog.csdn.net/qq_41538097/article/details/107653682 记得清空 .ssh 文件夹下的密钥
kdevtmpfsi 处理(挖矿病毒清除
Ancoda的博客
04-26 7775
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
挖矿kdevtmpfsi病毒处理
感冒石头的博客
05-14 1000
通过top命令可以看到kdevtmpfsi导致CPU 700%多,导致该病毒只要是通过redis漏洞进来的。1、该病毒还有守护进程,如果光kill掉该病毒,过段时间又起来的。守护进程:kinsing 2、该病毒还有定时任务、如果光杀死kdevtmpfsi和kinsing没有用,定时任务会再度重启这两个进程。解决办法:1、设置redis只对当前服务器或者指定服务器放开。取消掉 bind 0.0.0.0 设置 bind 127.0.0.1 或者加其他ip ,2、crontab -l ----》可以在...
记一次服务器被植入木马/病毒:kdevtmpfsi
Ying的博客
07-26 1654
服务器告警 今天(2020-07-26)中午12:50左右,手机微信收到了腾讯云的安全告警通知,说是服务器检测到木马文件,于是登陆腾讯云看了下 尝试处理 百度了一下kdevtmpfsi,发现是一个挖矿病毒,而且受害者还不少,通常会占用高额的CPU、内存资源,但是我奇怪的是,我查了服务器监控,仅仅是受到攻击的几分钟内CPU使用率有大概10%的上涨而已,并没有网上博文说的那么严重 然后也去查了下系统进程 ps -aux | grep kdevtmpfsi ps -aux | grep kinsing 说明
SQL木马清除工具.rar
03-28
说明: 1将数据库备份在本地的还原进行修复 *注意一定做好备份工作 *本地修复性能较好 *没有多台机器,建议使用虚拟机vmware 2此程序运行需要dotnet framework 2.0 ...3设置数据库连接,需要使用sa用户,修复过程...
木马清除专家
03-01
"木马清除专家"是一款专为用户设计的高效安全软件,致力于帮助用户检测并清除计算机中的木马病毒。木马,全称为“特洛伊木马”,是一种恶意软件,通常伪装成正常程序来欺骗用户安装,进而窃取个人信息、破坏系统稳定...
木马清除大师V8
12-11
专业的木马扫描清理专家,支持硬盘扫描,可以深层扫描发现木马病毒。后台以监控,方便操作,是一款不错的木马扫描器。
usb木马清除工具
07-19
【USB木马清除工具】是一种专门针对通过USB设备传播的恶意软件进行查杀和清除的软件。在现代计算机环境中,USB设备(如U盘)由于其便携性和易用性,成为了病毒和木马传播的重要途径。这类工具的出现是为了保护用户的...
木马清除小工具
10-17
"木马清除小工具"是一款专门针对这类威胁的实用工具,它能有效检测并清除那些常规的木马专杀工具可能无法处理的木马病毒。 该工具的核心功能可能包括以下几个方面: 1. **深度扫描**:它能够深入系统文件、注册表...
kdevtmpfsi 挖矿病毒清除(亲测)
逸雅安然
07-07 4261
废话不多说,直接开始清理 找到矿毒进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 杀死进程: kill -9 PID (杀死两个) 删除Linux下的异常定时任务 crontab -l //查看定时任务 crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除 删除文件 rm -rf kdevtmpfsi rm -rf /var/tmp/kinsing 最后自己可以再检查一下是否还有
Linux 病毒kdevtmpfsi挖矿的解决办法(四) 定时脚本删除挖矿病毒脚本
80后大叔爱学习
02-09 879
#!/bin/bash chattr -ia /root/.ssh/authorized_keys echo "自己定义rsa" > /root/.ssh/authorized_keys chattr +ia /root/.ssh/authorized_keys chattr -i /tmp/kdevtmpfsi chattr -i /tmp/redis2 rm -rf /tmp/kdevtmpfsi rm -rf /tmp/redis2 chattr -i /etc/config.json .
清理kdevtmpfsi、dbused挖矿木马程序
qq_42672132的博客
08-24 703
一、出现的问题 今天早上一看服务器集群,cpu被占满,Hadoop集群被干爆,然后top一下,看到占用最高的是kdevtmpfsi,另一个节点是dbused占满。 搜了一下,都是挖矿程序。 二、解决思路 网上很多的方法都试了,但是挖矿进程还是不断重启。像 1、关闭守护进程(后面没有守护进城了,木马进程还是会重启) 2、删除/tmp/下相关的文件(看名字,和木马进程差不多) 3、删除crontab内容(会被植入定时程序,我关闭了crontab,但是木马程序依旧重启) 4、修改木马文件权限(会换个名字继续来,原
记Linux服务器中的 kdevtmpfsi 挖矿病毒
weixin_51349952的博客
07-03 534
2021.7.2日(周五)邻近下班,突然旁边的小美同事急促的告知我网站后台上不去了,然后就上服务器上去看,一看发现内存占用变成90%左右,当时一惊,那就加个班吧~ 使用top命令查看后,发现有个进程占了很大资源,这个进程就是kdevtmpfs,Google 一下才知道,好家伙,服务器被当成矿机了 top 这个进程以及相关进程,都是运行在 www 用户下,并且会加上一个定时任务 直接 kill 并不能将其结束掉,它还有守护进程及可能存在的定时任务。 1. 查看定时任务 crontab
kdevtmpfsi & kinsing 挖矿病毒
chizhou52501314的博客
03-03 1377
一直寄希望于暂时不会被攻击,事实证明互联网不会让你失望,网络险恶,“裸奔”慎重,只要你裸着,肯定会有人发现你,保护好自己最重要
kdevtmpfsi挖矿病毒中招与破解
永远sayYES的博客
09-18 3065
一、背景 1. 本人是一名程序员,主要负责后端开发,已经做了10多年程序员了。 2. 本人有一台ECS服务器,在腾讯云上双11买的,2C4G + 5M带宽三年话费1000不到。 3. 平时自己喜欢在上面搭建一些服务玩玩。 二、发现 有一天我在上面安装了hadoop玩,需要创建一个hadoop账号,并且给用户hadoop创建了一个简单的密码hadoop123(我真的是太懒了),同时开放了22端口的ssh服务(HDFS免密登录需要),第二天发现登录ECS机器异常卡顿,敲命令也延迟的厉害。直觉告诉我应该是我电
Linux用rm -rf 无法删除文件或者目录 出现不允许的操作
热门推荐
weixin_44261540的博客
09-16 1万+
因为公司有一个项目 每次打包到linux上运行后都会产生一个文件夹 但每次运行前要把上一次产生的这个文件夹给删掉 但这次不知道为什么一直删不掉。 然后我百度搜了半天都是叫我去看看是否被赋予了不能删除权限然后我按照这样去试了下 发现并没有他们说的 i 和 a权限,困扰了我好几天 最后没办法 我只好先将这个目录把名字改了搁置到了一边。 我今天又来尝试 想了想到底为什么不能删除 于是我尝试在这个目录下新建了一个文件 然后我发现这个新建的文件居然也不能删除 我突然顿悟了什么!!!!!我...
android 后台木马清除
08-04
在Android系统中,如果手机受到了后台木马的感染,我们可以采取一些措施来清除它。 首先,我们可以尝试使用安全软件进行扫描和清除后台木马。安全软件会检测系统中的恶意程序,并提供相应的清除操作。使用知名和可信的安全软件可以提高清除木马的效果。 其次,我们可以手动检查应用程序的权限和活动,找出异常和可疑的应用程序。在设置中的应用程序管理下,我们可以查看正在运行的应用程序和最近使用过的应用程序,并清除其中的后台运行程序。特别注意那些没有正当理由和明显作用的应用程序。 另外,我们可以检查系统中的网络连接,排除后台木马的影响。在设置中的网络和连接设置下,我们可以查看正在连接的网络并清除其中的异常连接。如果发现应用程序在后台频繁使用网络或连接到可疑的服务器,应立即进行关闭和断开操作。 最后,如果尝试以上方法仍然无法清除后台木马,建议进行恢复出厂设置。恢复出厂设置将会清除手机中所有的数据和应用程序,包括后台木马。但在进行恢复出厂设置之前,务必备份重要的数据和文件,以免丢失。 总之,清除Android后台木马需要多种方法的组合使用,可以借助安全软件、手动检查应用程序、排除异常网络连接,并在必要时进行恢复出厂设置。同时,平时要增强安全意识,避免点击可疑链接和下载不明来源的应用,以保护手机免受后台木马的侵害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值