kdevtmpfsi 挖矿病毒清除（亲测）

最新推荐文章于 2025-09-30 08:29:21 发布

原创

最新推荐文章于 2025-09-30 08:29:21 发布 · 4.4k 阅读

13 ·

CC 4.0 BY-SA版权

大部分分博客都是原创，少部分笔记转载，介意联系博主删除，如有转载标明来源，禁止商用，

文章标签：

#redis

废话不多说，直接开始清理

找到矿毒进程

ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

在这里插入图片描述

杀死进程：

kill -9 PID (杀死两个)

删除Linux下的异常定时任务

crontab -l //查看定时任务
crontab -r //表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除

删除文件

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

「已注销」

关注关注

4
点赞
踩
13

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

pg kdevtmpfsi挖矿病毒处理

weixin_46551671的博客

09-13

494

自己用废弃笔记本做了一个本地pg数据库，但是某一天笔记本风扇飞转，对于平时不怎么使用的服务器来说，这是一件很神奇的事情。top一下，好家伙，postgres有一个进程cpu给我感到了300多，进程名字kdevtmpfsi。

kdevtmpfsi挖矿病毒中招与破解

永远sayYES的博客

09-18

3245

一、背景 1. 本人是一名程序员，主要负责后端开发，已经做了10多年程序员了。 2. 本人有一台ECS服务器，在腾讯云上双11买的，2C4G + 5M带宽三年话费1000不到。 3. 平时自己喜欢在上面搭建一些服务玩玩。二、发现有一天我在上面安装了hadoop玩，需要创建一个hadoop账号，并且给用户hadoop创建了一个简单的密码hadoop123（我真的是太懒了），同时开放了22端口的ssh服务（HDFS免密登录需要），第二天发现登录ECS机器异常卡顿，敲命令也延迟的厉害。直觉告诉我应该是我电

参与评论您还未登录，请先登录后发表或查看评论

kdevtmpfsi样本.zip

03-16

kdevtmpfsi样本，亲测真实有效可用，如有侵权，请联系CSDN管理员删除即可

查杀kdevtmpfsi挖矿病毒

c123m的专栏

06-08

499

1. top找到PID [root@demo ~]# top PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 15843 yarn 20 0 2653576 2.3g 996 S 100.0 15.0 11:23.75 kdevt

Linux服务器上有挖矿病毒kdevtmpfsi如何处理

热门推荐

Cupster

02-25

4万+

问题描述 Linux服务器（包括但不限于CentOS）出现名为kdevtmpfsi的进程，占用高额的CPU、内存资源；并且单纯的kill -9 进程ID 例：kill -9 23455无法完全杀死，不久便会复活；同2.理杀死 kdevtmpfsi的守护进程kinsing，一小段时间又会出现这对进程；找到并删除这2个进程对应的可执行文件例：find / -name kinsing，一小段时......

【应急响应】kdevtmpfsi挖矿病毒紧急处置

m0_74272345的博客

12-15

1132

师姐刚买的阿里云被种了kdevtmpfsi挖矿木马，贴点聊天记录（哈哈哈哈哈哈哈哈哈哈哈）说实话以前都是看过一些博客、推送，只是知道有挖矿木马这个东西，也没有接触过应急响应，全程是以最近打渗透学到的东西来摸索的第一次真的遇到还挺激动的，处理完发现其实也没太难，就是途中走了很多弯路，但曲折才能进步嘛，所以把弯路也做个记录同时是两条线在做，师姐在找杀毒软件，我在手动处理。

php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式

weixin_42165712的博客

03-11

749

中毒线上状态：CPU占满90%+，引发线上服务处理异常缓慢等问题，从而导致业务异常。处理方法：1. 查看占用高的进程。# top2. 排序按下1，找到占用高CPU的进程后，Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...

redis 漏洞攻击病毒程序 kdevtmpfsi

qq_17056391的博客

03-10

394

一个redis 程序占用cpu 46%,虽然redis-server 有定时清理过期的键,但也不会占用这么高的CPU吧,一般都是0.3% 看看这个进程什么鬼 systemctl status 14561 然后找到了它的父亲进程在 /var/tmp/kinsing 杀掉进程没用还会重启解决办法关闭redis 杀掉进程删除病毒文件，最好是删除redis然后重装redis ，redis修改下默认的端口，一定要给redis设置上密码 ...

CentOS中kdevtmpfsi病毒

jinglinggg的专栏

12-06

1478

CentOS中kdevtmpfsi病毒,几日的查杀，最终失败！

Linux服务器kdevtmpfsi挖矿病毒解决方法

qq_39845279的博客

04-08

1375

转自：Linux服务器kdevtmpfsi挖矿病毒解决方法：治标+治本_Cupster的博客-CSDN博客_/tmp/kdevtmpfsi 1.编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh； ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 rm

【服务器】挖矿病毒 kdevtmpfsi（一针见效）

希望我的博客，能帮上你解决学习中工作中所遇到的问题

07-23

1199

附：尝试了许多普通kill 和 rm 操作，发现根本无法解决问题。分析原因在于定时任务为删除掉。状态：CPU爆满，导致线上服务宕机。图片是盗的，进程占用是真实的。 1、# top 查看cpu占用情况，找到占用cpu的进程最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常，看到陌生ip，查出为国外ip,估计主机被人种后门了此时，挖矿脚本大概率定时在你的crontab里面。 crontab -l ，发现异常定时任务，* * *

kdevtmpfsi 挖矿病毒清除

u010227042的博客

03-11

1158

保险：如果CPU还是高速运转，你只需重复第一步即刻，因为它的威胁文件被我删除了，如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的，你只需要配置，所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥，这是他们留了后门的钥匙，可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程，就不会再有了，

记Linux服务器中的 kdevtmpfsi 挖矿病毒

weixin_51349952的博客

07-03

667

2021.7.2日（周五）邻近下班，突然旁边的小美同事急促的告知我网站后台上不去了，然后就上服务器上去看，一看发现内存占用变成90%左右，当时一惊，那就加个班吧~ 使用top命令查看后，发现有个进程占了很大资源，这个进程就是kdevtmpfs，Google 一下才知道，好家伙，服务器被当成矿机了 top 这个进程以及相关进程，都是运行在 www 用户下，并且会加上一个定时任务直接 kill 并不能将其结束掉，它还有守护进程及可能存在的定时任务。 1. 查看定时任务 crontab

Linux被kdevtmpfsi 挖矿病毒入侵

phubing

04-03

855

Linux被kdevtmpfsi挖矿病毒入侵一. 错误信息先上阿里云上的报警信息。有个最大的问题是：top命令查看自己服务器CPU运行情况，会发现kdevtmpfsi的进程，CPU使用率为100%，第一次删除干净了kdevtmpfsi程序，没曾想几分钟以后，就出现了第二个警告。使用netstat -antp命令查看端口使用情况，又出现了kdevtmpfsi如图三所示 netsta...

揭秘kdevtmpfsi样本：有效攻击样本分析

描述部分虽然简短，但是提到了“亲测真实有效可用”，这表明样本是经过测试的，并且能够正常工作。不过，如果存在侵权行为，则要求联系CSDN管理员进行删除处理。从标签“kdevtmpfsi 样本”可以得知，这个样本很...