记一次解决kdevtmpfsi挖矿病毒

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量993 收藏 4
点赞数 1
分类专栏: 运维 JAVA 文章标签: spring cloud redis 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010737670/article/details/124679942
版权

最近的一个项目即将上线,在一个微软云测试账号上进行预部署并测试。

部署完成没几天,突然发现有个进程占满了CPU,此时我就知道中挖矿病毒了,因为在之前公司的项目中也遇到过。

中毒了那就解决呗。。。

某度了一下发现,中这个毒的人还不少,解决方式都如出一辙,删除病毒文件

rm -f /tmp/kdevtmpfsi
rm -f /tmp/kinsing

其中第二个为病毒的守护进程文件,另外检查定时 crontab -l 看下是否有可以的定时任务进行删除。

再用命令kill掉病毒和守护进程

ps -aux | grep kinsing |grep -v grep|cut -c 9-16 | xargs kill -9
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-16 | xargs kill -9

查了下中毒原因都说是redis未设置密码或弱密码引起的,但是我的redis端口并未开放外网访问权限,到现在也不清楚什么原因。但是呢,我的redis确实未设置密码,所以立即把redis改了密码,然后更换了端口,重启。

然而第二天病毒又出现了。。。

使用 netstat -antp 命令发现有陌生IP连接了sshd,但是我i的机子只允许使用RSA私钥登录,难道私钥泄露了?我又重新生成了私钥,删除了原来的。。。

原以为这次应该OK了

没想到第二天还是出现了病毒,而且还有陌生IP连接sshd

我想用固定IP登录,其他的IP全部禁止,然而发现公司的外网IP不固定,每天的都不一样。。如果设置了可能自己都登不进去了。。。而且也未找到根本原因。。。

当我快绝望时,准备使用一种以暴制暴的方式,就是自己加个定时任务,检查是否有病毒,有病毒就kill掉,虽然这种方式治标不治本。。。突然发现有陌生IP连接了项目里的springcloud gateway,

然后查了下,在版本< 3.0.7的gateway中有个远程执行代码的漏洞。。。

解决方式,要么升级gateway到3.0.7,或者如果没使用到acture接口的话,直接加上配置禁用

management:
  endpoint:
    gateway:
      enabled: false

或者如果网关外网用不上就直接用防火墙关了网关端口。。。

目前到现在病毒未出现过,但是现在没有证据证明病毒一定是从这个口进来的,只能继续观察了

R灬T灬T
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
服务器异常测试kdevtmpfsi.rar
12-31
服务器kdevtmpfsi测试版和处理方法 CPU 会大于100%
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1162
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1297
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
一次服务器被挂了kdevtmpfsi挖矿病毒解决
从头再来-阿彪的博客
05-26 409
最近服务器的mysql响应总是特别慢,一开始没注意,后来偶然一次打开云后台显示cpu炸了都快,想着肯定是中招了,用top一看果然有个奇怪的kdevtmpfsi进程,搜索了下是挖矿病毒。端口能不开启就别开,别偷懒。像redis这种服务,使用强密码,并且开启保护模式,不允许外网连接。可以写一个脚本检测服务区使用情况,如果异常就用机器人提醒。
AWS 云服务器kdevtmpfsi挖矿病毒处理方法
qq_38829237的博客
11-17 945
亚马逊云 kdevtmpfsi 挖矿病毒处理
一次处理 kdevtmpfsi 挖矿病毒
热门推荐
寒泉
01-30 7万+
收到预警短信… Linux 查看进程之PS命令 ps aux --sort=%cpu 或者使用top命令,看哪个进程占用CPU。使用top观察了一会儿,kdevtmpfsi这个进程CPU一直在99左右,应该就是它了。 首先应该检查服务器是否有可疑的定时任务。使用crontab -l命令来查看当前的服务器的定时任务。 居然没有定时任务,那就先kill掉进程试试,通过kill {PID} 的方式...
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 1022
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
Linux服务器中的 kdevtmpfsi 挖矿病毒
weixin_51349952的博客
07-03 531
2021.7.2日(周五)邻近下班,突然旁边的小美同事急促的告知我网站后台上不去了,然后就上服务器上去看,一看发现内存占用变成90%左右,当时一惊,那就加个班吧~ 使用top命令查看后,发现有个进程占了很大资源,这个进程就是kdevtmpfs,Google 一下才知道,好家伙,服务器被当成矿机了 top 这个进程以及相关进程,都是运行在 www 用户下,并且会加上一个定时任务 直接 kill 并不能将其结束掉,它还有守护进程及可能存在的定时任务。 1. 查看定时任务 crontab
挖矿病毒清除)kdevtmpfsi 处理
可乐要加冰!!!
03-19 1420
挖矿病毒清除)kdevtmpfsi 处理
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
一次杀毒工作--kdevtmpfsi挖矿病毒
Nickkun的博客
12-28 665
起因:redis配置不安全导致 参考文章: https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 S
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本.zip】是一个包含有关`kdevtmpfsi`恶意软件样本的压缩文件。`kdevtmpfsi`是一个知名的Linux系统rootkit,它利用内核漏洞来提升权限,对系统安全构成严重威胁。在这里,我将详细解释`kdevtmpfsi`的...
spring根据条件注入Bean
u010737670的博客
04-23 4722
一、常用的注入spring Bean的几种方式: 1.常用的@controller、@Service、@Repository、@Configuration、@Component等注解,默认都会注入单例的Bean,如果这些类在启动类的同级包或同级包下面则会被自动注入,若不在,则需要加上@ComponentScan或者@ComponentScans将包名加入扫描才起作用 2.@Bean,也比较常用,一般通过构造方式返回一个类实例,然后会被spring加入IOC 3.@Import注解,可以直接将需要注入的
一次用java从海康ISC下载rtsp历史数据过程
u010737670的博客
07-20 2134
由于业务需要,需要从海康ISC中获取历史视频,但是查找了API只有一个获取历史RTSP的url的接口,但是这个rtsp的url用VLC播放不了,就尝试自己去抓包解析。 一、以下为用wireshark抓的rtsp包,rtsp和http类似,只是文本的交互协议,具体交互过程这里不阐述。 OPTIONS rtsp://192.168.30.254:554/openUrl/yOqDCw0?beginTime=20210712T090000&endTime=20210712T090100...
java读取系统和硬件信息
u010737670的博客
12-30 1250
公司为了方便运维人员部署项目,单独搞了个java的部署以及监控服务器状态的小工具 其中用到了一个三方库,可以读取到系统以及硬件信息(支持各种系统,我在linux和windows都试了是可以的) 了解了下源码就是通过JNA去读取系统信息的 下面是工具中用到的一些方法: 首先引包,一开始引的包在win7可以工作在win10有些接口有问题,然后自己单独引了最新的jna的包 <dependency> <groupId>com.github.oshi</
一次测试服务器java内存溢出问题(已解决,但未找到根本原因)
u010737670的博客
04-12 720
最近一个项目发到测试服务器上后,分配了Xmx2048m,但是隔了一晚永久代都满了,肯定是有内存泄露。 就开始使用常用的方式开始查找问题 命令: jmap -heap PID 可查看java堆内存中的存储状态,如下图: 命令: jstat -gcutil 可查看垃圾回收状态,如下图: 虽然当时发现,确实在频繁执行内存回收,但不知道原因; 最开始发现CPU占用很高, 然后先用ps -mp 【替换为进程ID PID】 -o THREAD,tid,time 或者 top -Hp 找到.
springboot-ConfigurationProperties读取application配置
u010737670的博客
04-23 483
录下自己常使用的springboot读取application中的配置的几种方法 1.如果只是单个文件中的配置,且文件已经注入spring IOC,则可以受用@Value注解 如下可读取application中service.name到username,加上冒号,若没有配置,则username为空,不加冒号,不配置启动会报错 @Service public class UserService{ @Value("${service.username:}") priv..
一次replace和replaceAll产生的小Bug
u010737670的博客
12-10 354
项目中需要解析的键值对格式如下: String body = "jsondata[username]=xiaoming&jsondata[password]=12345"; 然后我没用的信息去除掉,好用于直接转成对象,然后用replaceAll: body = body.replaceAll("jsondata[","").replaceAll("]=","="); 运行报错了: Exception in thread "main" java.util.regex.PatternSy
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值