清理kdevtmpfsi、dbused挖矿木马程序

已于 2022-01-29 10:12:30 修改
阅读量685 收藏 1
点赞数
分类专栏: Linux 文章标签: 运维 linux
于 2021-08-24 11:53:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42672132/article/details/119886644
版权

一、出现的问题

今天早上一看服务器集群,cpu被占满,Hadoop集群被干爆,然后top一下,看到占用最高的是kdevtmpfsi,另一个节点是dbused占满。
搜了一下,都是挖矿程序。

二、解决思路

网上很多的方法都试了,但是挖矿进程还是不断重启。像
1、关闭守护进程(后面没有守护进城了,木马进程还是会重启)
2、删除/tmp/下相关的文件(看名字,和木马进程差不多)
3、删除crontab内容(会被植入定时程序,我关闭了crontab,但是木马程序依旧重启)
4、修改木马文件权限(会换个名字继续来,原本的名字+随机数)

后来看了一下
cat /var/log/secure 日志,发现是很多不同的ip来攻击。

我把所有的木马程序都 kill 之后,去修改了密码,所有用户的密码(包括root),不用的用户给删除了。然后reboot。这才消停,木马程序没有重启。但是看secure,还是一直在尝试访问服务器。

上述这种方法可以生效,但是我不知道能不能一直生效,在我修改密码过后的几个小时,木马程序都没有重启。

最后直接去控制台关闭ip地址。限定ip登录地址

查看自己IP地址的网站:https://ip138.com/

我在燕京有把刀
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dbused StartMiner最新变种 cpu爆满 病毒 redis漏洞手动查杀流程
arr的博客
09-02 1327
上图是特征 如果是生产服务器建议还是直接重新装一台快一点 这个病毒很恶心,到处都有他的定时器,到处都有他的执行指令.好在他自己的名字是固定的,不然真的很难定位 ps -aux
linux如何清理程序,如何彻底清除kdevtmpfsir程序
weixin_30019895的博客
05-07 819
首先说说我的处理过程:第一步就是找到可耻的程序文件并且删掉find / -name kdevtmpfsifind / -name kinsingrm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/diff/tmp/kdevtmpfsirm -f /var/li...
病毒清除)kdevtmpfsi 处理
最新发布
可乐要加冰!!!
03-19 1240
病毒清除)kdevtmpfsi 处理
kdevtmpfsi 病毒清除
u010227042的博客
03-11 974
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
Linux服务器kdevtmpfsi病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
kdevtmpfsi 处理(病毒清除)
Ancoda的博客
04-26 7009
kdevtmpfsi 是一个病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
Desktop_清理内存批处理程序_
09-30
是一个清理windows电脑内存的批处理程序,实用且可以学习,采用批处理程序编辑
易语言NT服务清理程序
08-22
易语言NT服务清理程序源码系统结构:TerminateProcess_,OpenProcess_,CloseHandle_, ======窗口程序集1 || ||------_按钮1_被单击 || ||------_按钮2_被单击 || ||------_按钮3_被单击 || ||------_按钮4_被单击 || |
NT服务清理程序.rar
04-05
NT服务清理程序.rar
程序清理本地缓存的方法
10-18
主要介绍了小程序清理本地缓存的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Vmware卸载清理程序
09-04
Vmware卸载清理程序 Vmware只有删除干净才能重装
kdevtmpfsi病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除
m0_37587869的博客
01-04 3047
最近照例巡检服务器情况,当看到cup 直接飙到100%,像脉搏监视器检测到人没有心跳了一样,全是直线,吓我一身冷汗,预感大事不妙!继续查看发现是一周前19点左右开始的,这就很奇怪,cpu 跑100%,商城竟然没有挂掉(虽然是地方小商城,但用户量也有10万加,要是挂了后果不堪设想),真是不幸中的万幸。发现是中了木马,有人在服务器上kdevtmpfsi。然后百度了一圈,下面综合各位大神的办法,最终解决,总结一下 1.首先,top 了下系统进程 2.接着输入命令 systemctl status 12625
linux处理kdevtmpfsi,kswapd0(病毒清除)
bluesease的博客
12-12 2889
kdevtmpfsi,kswapd0病毒问题处理
kdevtmpfsi病毒中招与破解
永远sayYES的博客
09-18 3014
一、背景 1. 本人是一名程序员,主要负责后端开发,已经做了10多年程序员了。 2. 本人有一台ECS服务器,在腾讯云上双11买的,2C4G + 5M带宽三年话费1000不到。 3. 平时自己喜欢在上面搭建一些服务玩玩。 二、发现 有一天我在上面安装了hadoop玩,需要创建一个hadoop账号,并且给用户hadoop创建了一个简单的密码hadoop123(我真的是太懒了),同时开放了22端口的ssh服务(HDFS免密登录需要),第二天发现登录ECS机器异常卡顿,敲命令也延迟的厉害。直觉告诉我应该是我电
病毒处理 kdevtmpfsi & kinsing
qw311113qin的博客
05-22 689
服务器遭到入侵,单删病毒进程解决不了,要找到它的根。 病毒进程删了还会继续被拉起,估计就是被植入了实时任务,先查看服务器计划任务的日志/var/log/cron 发现了病毒脚本:http://91.241.19.134/unk.sh 希望有能力的大佬处理下,为民除害。 ​从日志看到,病毒是普通用户执行的,到对应普通用户的定时任务下查看,在/var/spool/cron下的letsun用户定时任务中是发现有该病毒下载执行脚本的,清理掉。 也有的病毒是root运行的,总之基本上都是在定时任务中,都要
服务器中kdevtmpfsi病毒 及其解决方法
郑德帅
01-03 1万+
程序kdevtmpfsi和networkservice两个进程导致服务器CPU占用100%,定时任务不执行,服务器卡顿 1.前言: 最近在服务器的定时任务经常不跑,感觉很奇怪,连服务器时,直接卡在链接处,无奈只好后台重启服务,借机连上。 但是就算连上去,还是经常被挤掉 ...
Linux病毒事件应急响应演练(dbused木马)
Li-D的博客
11-17 7066
环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.168.130.138) 攻击阶段 (1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口; (2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root (3)在攻击机上准备病毒 (4)接下来进行攻击入侵,等待脚本运行 应急响应 检测阶段 (1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率 (2)查看是否存
安全应急:解决无法删除病毒-bash和sysdrr等文件
yuanlirong22的专栏
09-27 1052
发现大量的恶意脚本和文件包括-bash和sysdrr等明显特征病毒家族的文件,然后发现竟然删除不了恶意文件,提示“Operation not permitted”不允许操作。此情此景,只好掏出祖传的安全应急手册,终于找到破解之法。
记一次解决dbused病毒
qielanyu_的博客
10-10 1067
参考文章: 解决病毒导致的cpu100%_Newbie_J的博客-CSDN博客 dbused把我的CPU占满了!linux服务器病毒的解决历程_gitTung的博客-CSDN博客_dbused 一次病毒的处理过程复盘-简易百科 引言:直接影响,导致confluence无法使用。top时发现跟confluence账号相关,于是从这个方面着手,开始解决问题 1.进入 /var/spool/cron/ ,发现存在confluence5的一个定时任务,其内容如下: * * * *
linux怎么清理后台程序
04-07
可以通过以下几个步骤来清理 Linux 后台程序: 1. 查看当前正在运行的后台程序 使用命令 `ps aux | grep <程序名>` 来查看当前正在运行的后台程序,其中 `<程序名>` 是要查找的程序名称。 2. 杀死后台程序 使用命令 `kill <进程号>` 来杀死指定的后台程序,其中 `<进程号>` 是要杀死的进程的 PID。 如果要一次性杀死多个进程,可以使用命令 `killall <程序名>`,其中 `<程序名>` 是要杀死的程序的名称。 3. 禁止后台程序自动启动 如果不希望某个后台程序自动启动,可以通过在 `/etc/rc.local` 文件中添加禁止启动的命令来实现。具体方法是在文件末尾添加以下命令: ``` echo "manual" >> /etc/init/<程序名>.override ``` 其中 `<程序名>` 是要禁止启动的程序名称。 4. 清理后台程序的日志和缓存 后台程序的日志和缓存可能会占用大量磁盘空间,因此需要定期清理。可以使用命令 `rm -rf <日志或缓存文件路径>` 来删除指定的日志或缓存文件,或者使用命令 `find <日志或缓存目录> -type f -name "<文件名匹配规则>" -delete` 来批量删除符合条件的文件。其中 `<文件名匹配规则>` 是要删除的文件名的匹配规则,例如 `*.log` 表示删除所有以 `.log` 结尾的文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值