一大早支付宝来短信说你中“奖”了?处理服务器挖矿病毒 - kthreaddi

最新推荐文章于 2023-08-18 13:09:15 发布
最新推荐文章于 2023-08-18 13:09:15 发布
阅读量497 收藏
点赞数 1
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42958118/article/details/117648708
版权

处理服务器挖矿病毒 - kthreaddi

- 当你服务器出现以下症状,恭喜你中奖了

在这里插入图片描述在这里插入图片描述

今天一早打开服务器发现卡的不行,于是使用top命令查看了一番,果然不出所料,服务器被挖矿了,下面带来完整的解决办法!

在这里插入图片描述

由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,可谓是损人不利己,十分恶毒!!!

先看看kthreaddi 丑陋面目
使用用 ll /proc/3436看看 哪里运行的
在这里插入图片描述
当看到是出现在www下面文件时并且[kthreaddi]进程用户是www 那就可能是通过web方式注入的,排除了我的第一个构思通过Redis端口进入的,然后切换到这个文件
在这里插入图片描述
还不现出原形!
在这里插入图片描述
里面有个链接打开竟然这么一条外国猛男的广告!

【 kthreaddi 】是挖矿病毒 不断的写入定时任务 执行操作

找到了你以为就解决了吗?
先是top命令查占用进程PID 3436直接杀死 但是过一段时间又会自动的建立进程,想想也是人家凭本事进来的岂能说走就走
这类杀不死并不是生命力顽强,而是有个任务在不停的跑

使用查看定时任务命令 crontab -e 果然有一条定时任务,更加可气的是找不到这个文件

那就只能 删除所有定时任务,那好说,宁可错杀一千,不能放过一个(过于鲁莽,建议先备份下定时任务的文件)
在这里插入图片描述
于是世界安静了!

孙奋斗
关注
处理服务器恶意程序 kthreaddi挖矿
小啊宇的博客
04-12 5373
再次经历了服务器病毒,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我连接不上nexus了 我通过网页访问web界面确实看不到nexus页面 登录服务器之后查看并没有nexus得端口存在,尝试进行启动nexus 一开始都是后台运行 ./nexus start 并看不到报错 只知道运行一会然后就没了 然后操作前台运行 ./nexus run 看到了运行到间得时候 程序就突然被kill了 这个时候我直接就
Vue3通透教程【一】Vue3现状—必然趋势?
热门推荐
官方推荐
01-30 6万+
凉哥作为 Vue 的忠诚粉丝输出过大量的 Vue 文章,应粉丝要求开始更新 Vue3 的相关技术文章,Vue 框架目前的地位大家应该都晓得,所谓三大框架使用人数最多,公司选型最多的框架,凉哥之前在文章也提到过就是 Vue 框架之所以火起来的原因,和 Vue 框架相比其他框架的巨大优势,有兴趣的伙伴可以看一下Vue框架背后的故事。
[kthreaddi]挖矿病毒处理,终于解决了!
weixin_41599103的博客
04-02 1万+
服务器被黑了,kthreaddi这货导致的。 kill后会自动重启。 定时器查看,有定时任务,关闭定时任务,还是会出现新的,每次都是不同的目录。 找到其一个文件,搞了很长时间才知道是一个elf文件还用upx3.96加了壳。去壳后,从3.91M变成10.23M. 使用strings命令导出到txt文件,惊喜来了,终于找到kthreaddi程序名。文件里的有点看不懂,有大神知道怎么弄吗?(文件下载)(下载不了的话可以评论区留下邮箱,) ...
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1773
没成功,只是记录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
Linux - kthreaddi 进程导致CPU超高问题 处理记录
Daopin Blog
03-10 1万+
今天登录到阿里云的服务器时,使用top命令查看系统信息发现有个进程【kthreaddi】把CPU给占满了 登录阿里云控制台查看,发现从凌晨4点左右开始cpu就达到100%: 查看系统的日志(/var/log/message),果然也是从4点30分左右开始有关【kthreaddi】的信息: kthreaddi挖矿 病毒当前投递最终载荷依然为挖矿木马,sysrv模块会在其Guard守护流程内对挖矿进程做保护,当kthreaddi进程不存在,则释放矿机到tm...
Linux进程、线程辨析
weixin_45312249的博客
10-23 150
一、关键字 进程、 线程、轻量级进程、线程组、内核线程 进程是系统资源分配的最小单元,线程是cpu调度的最小单元 线程可以看成是小型进程,多个线程之间是可以共享资源的。 进程和线程都是用task_struct结构体来表示 轻量级进程: 内核线程:在内核有一种特殊的线程,被称为内核线程,内核线程也是通过task_struct结构来描述。内核线程和普通进程一样也是内核调度的实体。 内核线程永远运行在内核态,而进程即可以运行在用户态也可以运行在内核态,从虚拟地址空间角度来,普通进程可以使用整个4G的地址空间,
vue支付项目-APP支付宝支付功能
总结前端开发中遇到的问题,分享前端知识
10-22 1万+
如果用户已安装支付宝客户端,商家 App 唤起支付宝完成支付,支付完后跳回到商家 App 内,最后展示支付结果。如果用户没有安装支付宝客户端,商家 App 内会调起支付宝网页支付收银台,用户登录支付宝账号,支付完后展示支付结果。1.点击按钮开通或者续费,会验证是否选择会员商品以及对协议是否查看选(这里根据项目需要自行验证,可忽略),验证通过打开选择支付方式弹窗页面,选择微信支付或者支付宝支付;4.可取消支付,放弃支付会返回会员页面,页面提示支付取消;1.判断支付方式,如果是2,则是支付宝支付方式。
iOS小技能:短信验证码的Checklist、格式校验、获取验证码处理流程(限制60s)
iOS逆向与安全
02-07 1万+
文章目录前言I、实际应用的例子: 获取验证码(限制60s)1.1 点击获取验证码处理1.2、计时方法处理II 、格式正则校验2.0 短信验证码格式正则校验2.1 金额校验格式正则校验III、短信验证码的Checklist 前言 短信验证码处理的实际应用: 1、获取验证码(限制60s) 2、格式校验 3、短信验证码的Checklist I、实际应用的例子: 获取验证码(限制60s) 1.1 点击获取验证码处理 请求接口获取验证码,获取成功之后,开始到60S倒计时 监听点击事件,并处理获取成功之后的倒计
〖Python接口自动化测试实战篇③〗- 什么才是真正的自动化 - 自动化测试的意义又是什么?
易编橙 · 终身成长社群,相遇已是上上签!
05-25 4万+
书承上一章节,现在我们来聊一聊为什么现在的互联网企业迫切的需要大量的自动化测试。 如果有一定的代码基础,在测试领域会有很好的的发展前途。薪资水平呢也会不弱于甚至强于大部分的开发,这也算是很多测试愿意、或倾向于往自动化测试或者测试开发发展的原因之一吧。于我们测试人员而言有代码思维的测试,很容易走到更高的高度。...
支付宝二维码生成,可以自定义金额和备注(不限制生成数量)
猿小白的博客
03-13 1万+
今天给大家介绍一种可以实现了支付宝二维码的实时生成,可以自定义生成的金额,备注信息,而且还不限制生成数量的方法。
服务器挖矿,有command为【kthreaddi】的进程跑满cpu,详细解决步骤
LifeOneOnly的博客
06-02 933
1.使用top命令看到有command为【kthreaddi】的进程,例如12236 2.使用netstat -ltnp命令监听到非法监听的进程,识别方法是xiang'mu
[乐子]2 挖矿病毒kthreaddk
最新发布
addddnb的博客
08-18 199
linux如何杀掉挖矿病毒,不包含维护
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1224
CentOS处理挖矿病毒 - kthreaddk
【kthreaddi】记录一次被木马攻击hadoop后如何解决
Tomonkey的专栏
04-06 634
服务器上之前的hadoop是用用户tsdb安装的 登录上服务器,运行命令top Tasks: 135 total, 2 running, 133 sleeping, 0 stopped, 0 zombie %Cpu(s): 96.8 us, 3.2 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st MiB Mem : 3936.1 total, 113.3 free, 3691.2 used, 131.6 bu
kthreaddk病毒查杀记录
Cookie_1030的专栏
12-15 2053
今日在zabbix上查看到某台服务器的CPU使用率过高(几乎100%)。进入服务器top查看到一个异常的进程kthreaddk。 第一步:kill掉对应pid之后还会继续出现,意识到这是病毒文件,会一直不停的产生。 第二步:ll /proc/pid/exe 查看具体的文件地址,可以直接删除。但发现该文件会自动删除,并再次生成其他文件在另外的目录下,如此不停循环。 第三步:关掉对外的无用端口,看到机器上开了很多的端口对外,但其实本身意义不大,直接在后台对外关闭。 第四步:查看到该进程的管理用户是g..
kthreaddk挖矿病毒处理
chenxiao17301的博客
08-08 690
kthreaddi
阿里云服务器被[kthreaddi]挖矿病毒攻击
chun的博客
05-29 727
首先我根本https://blog.csdn.net/weixin_41599103/article/details/115403332这个博客试了下并没有成功,所以应该是被侵入的程序不一样 先去阿里云里看一下详情 明确告诉了是通过docker被攻击了,先将wordpress容器停止并删除容器和镜像 kill掉进行,如果有定时任务和文件就删掉(命令上面博客里有) 我直接将安全组端口先都关闭了,留下22,然后重启后就好了。 ...
kthreaddk 挖矿病毒的解决
zylfarzero的博客
07-21 1724
kthreaddk
大规模SOA系统的分布式事务挑战与实践
大规模SOA系统的分布式事务处理是一项复杂且关键的任务,尤其是在支付宝等大型互联网企业。本文由程立撰写,针对的是2008年的大规模服务导向架构(SOA)环境,其涉及的主题包括单应用系统的事务管理和扩展到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孙奋斗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值