清理kdevtmpfsi、dbused挖矿木马程序

已于 2022-01-29 10:12:30 修改
阅读量753 收藏 1
点赞数
分类专栏: Linux 文章标签: 运维 linux
于 2021-08-24 11:53:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42672132/article/details/119886644
版权
博主发现服务器CPU usage被kdevtmpfsi和dbused等挖矿程序占用,尝试多种清除方法如关闭守护进程、删除临时文件、禁用crontab等,但木马进程持续重启。通过分析/var/log/secure日志,发现多IP攻击。采取措施包括kill所有木马进程,修改所有用户密码,删除无用用户并限制登录IP,暂时解决问题。为长期防护,建议加强服务器安全配置和监控。
摘要由CSDN通过智能技术生成

一、出现的问题

今天早上一看服务器集群,cpu被占满,Hadoop集群被干爆,然后top一下,看到占用最高的是kdevtmpfsi,另一个节点是dbused占满。
搜了一下,都是挖矿程序。

二、解决思路

网上很多的方法都试了,但是挖矿进程还是不断重启。像
1、关闭守护进程(后面没有守护进城了,木马进程还是会重启)
2、删除/tmp/下相关的文件(看名字,和木马进程差不多)
3、删除crontab内容(会被植入定时程序,我关闭了crontab,但是木马程序依旧重启)
4、修改木马文件权限(会换个名字继续来,原本的名字+随机数)

后来看了一下
cat /var/log/secure 日志,发现是很多不同的ip来攻击。

我把所有的木马程序都 kill 之后,去修改了密码,所有用户的密码(包括root),不用的用户给删除了。然后reboot。这才消停,木马程序没有重启。但是看secure,还是一直在尝试访问服务器。

上述这种方法可以生效,但是我不知道能不能一直生效,在我修改密码过后的几个小时,木马程序都没有重启。

最后直接去控制台关闭ip地址。限定ip登录地址

查看自己IP地址的网站:https://ip138.com/

我在燕京有把刀
关注
专栏目录
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除
m0_37587869的博客
01-04 3225
最近照例巡检服务器情况,当看到cup 直接飙到100%,像脉搏监视器检测到人没有心跳了一样,全是直线,吓我一身冷汗,预感大事不妙!继续查看发现是一周前19点左右开始的,这就很奇怪,cpu 跑100%,商城竟然没有挂掉(虽然是地方小商城,但用户量也有10万加,要是挂了后果不堪设想),真是不幸中的万幸。发现是中了木马,有人在服务器上挖矿kdevtmpfsi。然后百度了一圈,下面综合各位大神的办法,最终解决,总结一下 1.首先,top 了下系统进程 2.接着输入命令 systemctl status 12625
python挖矿木马_kworkerds 挖矿木马简单分析及清理
weixin_39952800的博客
12-06 721
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。现象top 命令查看,显示 CPU 占用 100%,进程名无明显规则,如:TzBeq3AM。进程有时候会被隐藏,通过分析脚本删除部分依赖文件,可以显示出来。存在可疑的 python 进程。crontab 被写入了一个定时任务,每半小时左右会从 pastebi...
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 1063
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
pg kdevtmpfsi挖矿病毒处理
最新发布
weixin_46551671的博客
09-13 293
自己用废弃笔记本做了一个本地pg数据库,但是某一天笔记本风扇飞转,对于平时不怎么使用的服务器来说,这是一件很神奇的事情。top一下,好家伙,postgres有一个进程cpu给我感到了300多,进程名字kdevtmpfsi
linux如何清理挖矿程序,如何彻底清除kdevtmpfsir挖矿程序 ?
weixin_30019895的博客
05-07 1700
首先说说我的处理过程:第一步就是找到可耻的程序文件并且删掉find / -name kdevtmpfsifind / -name kinsingrm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/diff/tmp/kdevtmpfsirm -f /var/li...
kdevtmpfsi 处理(挖矿病毒清除
Ancoda的博客
04-26 8217
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
清除挖矿病毒 kdevtmpfsi记录
第一天
05-17 409
某日登录服务器,查看到cpu使用异常 负载很高 查看下cpu进程使用情况 kdevtmpfsi 这个进程使用异常 28243 polkitd 20 0 2915868 2.3g 0 S 193.0 29.9 673812:14 kdevtmpfsi ps aux 查看下这个进程的路径 kill -9 28243 删除进程 查看是否存在定时任务 https://blog.csdn.net/qq_45186545/article/details/103853601 http
linux 木马 源码,一款新型的Linux挖矿木马来袭
weixin_29577885的博客
05-12 1369
事件描述样本分析1.对一系列矿池地址进行DNS查询请求,如下:相应的矿池地址列表如下:pool.minexmr.com、xmr-eu1.nanopool.org、xmr-eu2.nanopool.orgxmr-us-east1.nanopool.org、xmr-us-west1.nanopool.org、xmr-asia1.nanopool.orgxmr-jp1.nanopool.org、xmr-...
php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式
weixin_42165712的博客
03-11 659
中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。处理方法:1. 查看占用高的进程。# top2. 排序按下1,找到占用高CPU的进程后,Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...
处理服务器上的挖矿木马小记
qq455980324的博客
11-14 2369
文章目录处理服务器上的挖矿木马小记挖矿木马发现挖矿程序定位(失败)异常用户排查挖矿程序定位(成功)挖矿木马分析解决木马的方法 处理服务器上的挖矿木马小记 参考: https://zhuanlan.zhihu.com/p/405165722 https://www.modb.pro/db/107110 挖矿木马发现 通过nvidia-smi发现异常占用程序python36 nvidia-smi 挖矿程序定位(失败) 通过ps命令获取进程相关信息 ps -ef | grep python3
服务器挖矿木马识别与清理
m0_65372269的博客
12-12 1108
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
redis进程CPU使用率100%,kdevtmpfsi木马清除
占星安啦的博客
07-18 883
病毒表现 CPU使用率无限接近100%,我的四核系统CPU使用率一直再395%-399%波动。 故障出现时间 宝塔面板安装redis之后 问题查找(百度) 木马病毒——kdevtmpfsi 通过redis进入的,一开始没设置密码的隐患,做好端口映射,别傻乎乎的用默认的主机端口,最好指定IP 处理办法 先将相应木马文件删除 sudo find / -name kdevtmpfsi* sudo rm -rf ... 再将守护进程的文件删除 sudo find / -name kinsing* sudo rm
Linux挖矿病毒事件应急响应演练(dbused木马)
Li-D的博客
11-17 7476
环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.168.130.138) 攻击阶段 (1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口; (2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root (3)在攻击机上准备挖矿病毒 (4)接下来进行攻击入侵,等待脚本运行 应急响应 检测阶段 (1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率 (2)查看是否存
针对kdevtmpfsi病毒内容的分析与清理
a1308422754的博客
12-28 3万+
中毒症状: 服务器cpu负载升高 top查看进程 会发现一个名为kdevtmpfsi 的程序在占用 杀掉之后重启可以推测有守护进程 排查后守护进程为kinsing 杀掉守护进程 间隔一会又重新启动 定时任务中有每秒都在执行的脚本 要删掉 间隔一星期或者两个星期又卷土重来 建议 挖矿程序可以通过docker镜像下载服务和redis 动态加载配置 获取主机权限 1、平时中间件要绑定内网网卡,禁止bind 0.0.0.0的情况出现 2、用低权限用户启动 3、统一更换常用端口 4、redis设置2.
centos dbused挖矿病毒清理
hyc_219的博客
07-27 1821
清理bash_profile 1、打开终端,清理到用户下bash_profile文件,默认在/home/${name}/的隐藏文件内容中记录 cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null 删除crontab下任务 #查看是否包含cp -f -r --
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
kdevtmpfsi挖矿病毒中招与破解
永远sayYES的博客
09-18 3115
一、背景 1. 本人是一名程序员,主要负责后端开发,已经做了10多年程序员了。 2. 本人有一台ECS服务器,在腾讯云上双11买的,2C4G + 5M带宽三年话费1000不到。 3. 平时自己喜欢在上面搭建一些服务玩玩。 二、发现 有一天我在上面安装了hadoop玩,需要创建一个hadoop账号,并且给用户hadoop创建了一个简单的密码hadoop123(我真的是太懒了),同时开放了22端口的ssh服务(HDFS免密登录需要),第二天发现登录ECS机器异常卡顿,敲命令也延迟的厉害。直觉告诉我应该是我电
服务器中kdevtmpfsi挖矿病毒 及其解决方法
郑德帅
01-03 1万+
挖矿程序kdevtmpfsi和networkservice两个进程导致服务器CPU占用100%,定时任务不执行,服务器卡顿 1.前言: 最近在服务器的定时任务经常不跑,感觉很奇怪,连服务器时,直接卡在链接处,无奈只好后台重启服务,借机连上。 但是就算连上去,还是经常被挤掉 ...
dbused挖矿病毒清理过程
老司机开新车的博客
04-12 5176
表现 过了个周末,一觉醒来,服务器上部署的程序无法访问了,想ssh进入shell查看,shell也连接不上,去云服务器提供商后台查看监控曲线,发现cpu使用率一直在100%,在后台页面重启实例,进入shell进行恢复。 处理 使用top 命令查看CPU使用率,发现dbused进程高居榜首,就是它,干它! 驻留项 添加4个驻留项如下: (1)bash启动项 ~/.bash_profile 在打开终端时将会执行该挖矿木马,注意需要到对应用户目录下清理bash_profile cp -f -r -- /bin/b
ASP后门木马清理技巧与杀毒策略
"《asp后门、asp木马大清理.txt》是一份针对web空间中asp木马检测与清除的实用指南。文章主要介绍了两种实用技巧来应对asp后门和木马问题,特别关注于已知的常见asp木马如cmdasp和海洋顶端木马。 第一种技巧是利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值