Linux被kdevtmpfsi 挖矿病毒入侵

最新推荐文章于 2024-03-19 19:34:58 发布
置顶 最新推荐文章于 2024-03-19 19:34:58 发布
阅读量2.8w 收藏 59
点赞数 46
分类专栏: 经验分享 文章标签: linux java redis 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45186545/article/details/103853601
版权

Linux被kdevtmpfsi挖矿病毒入侵

一. 错误信息

先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图三所示

netstat -antp

在这里插入图片描述
在这里插入图片描述
图三

二.解决问题

一般出现kdevtmpfsi病毒都会伴有定时任务,就会出现我上面说的处理一次后,又会继续出现,反反复复处理不干净。

1.首先停掉kdevtmpfsi的程序

ps aux

找到kdevtmpfsi的进程
在这里插入图片描述
删除掉与kdevtmpfsi相关的进程

kill -9 20267
kill -9 20367

2.删除Linux下的异常定时任务

crontab -l 查看定时任务
crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除

如下图所示在这里插入图片描述

3.结束kdevtmpfsi进程及端口占用

netstat -antp

找到kdevtmpfsi端口 我这里是28244 一中第三张图可以看到。不要直接杀掉,因为有守护线程还会重启。

ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

在这里插入图片描述

kill -9 28244
kill -9 28829

4.删除掉kdevtmpfsi的相关文件

cd  /tmp
ls
rm -rf kdevtmpfsi 
rm -rf /var/tmp/kinsing  
最后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing

三.怎么预防处理这个病毒

最根本的原因是自己的redis 6379配置不当导致的。大家可以参考阿里云的Redis服务安全加固
阿里Redis服务安全加固

您的点赞,是我更新的动力!
如有错误,还望指正

胖罐子胖摔
关注
  • 46
    点赞
  • 59
    收藏
    觉得还不错? 一键收藏
  • 18
    评论
专栏目录
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
挖矿病毒清除)kdevtmpfsi 处理
最新发布
可乐要加冰!!!
03-19 1202
挖矿病毒清除)kdevtmpfsi 处理
病毒】【CPU使用率为100%】Linuxkdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1099
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
linux服务器 kdevtmpfsi solrd 病毒处理 记住一定要多删除几次。重启
Super_man54188的博客
02-20 918
所有中病毒 无非是cpu内存占用高 一定要断公网地址 修改root密码 删除history历史记录 history -c 映射端口也要注意 solrd病毒 公司服务器负载突然上来了,用top命令查看,发现了一个很诡异的进程 然后grep这个进程的进程号,发现是运行在/tmp/.solr/solrd下;于是赶紧杀进程,删程序,负载就下来了;但是还没有完,用top命令再次查看的时候惊...
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 803
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
bluesease的博客
12-12 2874
kdevtmpfsi,kswapd0挖矿病毒问题处理
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 6861
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
Linux服务器成功处理kdevtmpfsi挖矿程序,亲测有效!
x-dragon8899的博客
09-04 777
通过 top 命令查看服务器,发现CPU资源使用一直处于100%的状态,原因是kdevtmpfsi进程占用了CPU,现需处理掉这个挖矿程序。发现没有 kdevtmpfsi 进程占用CPU,清理成功!服务器CPU从52%恢复为3.5%!
linux系统出现kdevtmpfsi或者trace占用cpu100%的问题(有人用你的服务器进行挖矿
liangshao666的博客
12-26 4649
1.linux系统出现cpu100%的问题 1.车祸现场还原 2.输入如下命令 然后 netstat -antpl |grep 5912 *3.复制ip地址178.170.189.5 * 如图操作 4.发现被黑客攻击 * 如果使用kill -9 pid 不好使的话,就是殺不死的話进行如下 5.使用如下操作 6.发现crontab -e 无可疑定时文件即可、或者将可疑的定时文件删除,本...
Linux——kdevtmpfsi挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9580
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
Linux系统被入侵后处理实战
02-25
操作系统:Ubuntu12.04_x64运行业务:公司业务系统,爬虫程序,数据队列。服务器托管在外地机房。...可见流量已经达到了800M左右,肯定不正常!...当时我的第一反应是想马上切断外部网络,通过内网连接查看。...
Linux操作系统安全及入侵排查
09-30
2、Linux系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查...
Linux防护工具clamav病毒库离线版
12-07
用于Linux防护工具clamav的病毒库,在线下载不方便,这里提供离线版下载,三个文件:main.cvd、daily.cvd和bytecode.cvd。运行扫描工具时需要病毒库用于识别
linux 入侵常用命令汇编
09-16
掌握这些命令也有助于配置linux的安全,大家可以看看。
Linux【问题记录 03】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
Java与大数据相关实践内容分享!
09-08 609
Linux【问题记录 03】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
[阿里云]Redis的6379端口开通访问所踩到的坑
身披白袍的博客
07-15 4596
阿里云上Redis的6379端口开通访问所踩到的坑 简单记一下踩到的坑: 首先要现在阿里云的控制台开启相应的端口,参考以下文章: (ESC) https://blog.csdn.net/Shenpibaipao/article/details/83932150 (轻型应用) https://blog.csdn.net/Shenpibaipao/article/details/79767766 接...
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除
m0_37587869的博客
01-04 3031
最近照例巡检服务器情况,当看到cup 直接飙到100%,像脉搏监视器检测到人没有心跳了一样,全是直线,吓我一身冷汗,预感大事不妙!继续查看发现是一周前19点左右开始的,这就很奇怪,cpu 跑100%,商城竟然没有挂掉(虽然是地方小商城,但用户量也有10万加,要是挂了后果不堪设想),真是不幸中的万幸。发现是中了木马,有人在服务器上挖矿kdevtmpfsi。然后百度了一圈,下面综合各位大神的办法,最终解决,总结一下 1.首先,top 了下系统进程 2.接着输入命令 systemctl status 12625
Linux服务器kdevtmpfsi挖矿病毒解决方法
qq_39845279的博客
04-08 1251
转自:Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本_Cupster的博客-CSDN博客_/tmp/kdevtmpfsi 1.编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh; ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 rm
linux入侵挖矿怎么解决
07-15
如果您的 Linux 系统被入侵并被用于挖矿,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 18
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值