Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing)

已于 2024-03-27 10:49:44 修改
阅读量389 收藏
点赞数 1
文章标签: hadoop linux centos
于 2021-12-21 14:50:14 首次发布
lucas5的文章随便用
本文链接:https://blog.csdn.net/weixin_42236986/article/details/122059361
版权

大数据服务器,被病毒挖矿。

大数据人说服务器升级了也扩展slave了还是卡,叫我帮忙看一下。

有幸帮忙解决,记录一下这个东西。

top查看资源

 发现异常程序,copy网上搜一下,发现是挖矿病毒。

寻找病毒:

1.查看文件位置systemctl status PID (或者ls -al /proc/PID)

 2.查看定时任务,异常的都禁止

我这里没有发现异常的定时任务

3.查看接口

 发现31458端口的挖矿病毒。

4.查看文件地址 ls -alt

 通过文件属主可以看到病毒是通过yarn用户运行,此用户为Hadoop程序创建。

这次将病毒文件压缩到本地,看看里面有什么。

现在寻找完了,安装网上的教程,结束这挖矿的一生。

解决病毒

建议按照此顺序,且必须要快。。。

1.删除或注释定时任务。

2.通过netstat -nplt 查看病毒占用了端口,kill -9 PID 。

3.使用top命令,找到病毒PID再 kill -9 PID 。如果病毒寄生又或是不敢kill,那就systemctl status PID 。找到病毒文件前面的PID,再删除。

4.删除病毒所在文件夹,建议将所有yarn属主文件夹检查一遍。

5.最后通碟,安装lsof,使用lsof  | grep 病毒名。将寄生在其他服务上的病毒找出杀掉。

招大数据运维招了大半年了也没人来,纯粹是给我找事,服务器端口全开,密码直接写明文。

我怕了,赶紧搞完拜拜。

Lucas 5
关注
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 868
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
Hadoop报错:Incompatible clusterIDs in /tmp/hadoop-root/dfs/data: namenode
chenxie2031的博客
04-28 2159
一般namenode只格式化一次,重新格式化不仅会导致之前的数据都不可用,而且datanode也会无法启动。在datanode日志中会有类似如下的报错信息: java.io.IOException: Incompatible clusterIDs in /tmp/hadoop-root/df...
hadoop快速入门---基于docker搭建hadoop环境,并且解决8088yarn漏洞问题
xxx
07-04 1370
本节来说说如何快速使用上hadoop 安装hadoop的步骤: 1、操作系统:ubuntu16.04TLS 2、安装docker 3、利用docker安装hadoop集群环境 前言:docker是个好东西,可以减少很多配置,提高工作效率。同时,docker也是开源世界的一个比较好的产物,个人感觉将引起技术大爆发发展。 安装docker步骤:参考docker安装 基于docker安装可...
kdevtmpfsi挖矿病毒中招与破解
永远sayYES的博客
09-18 3107
一、背景 1. 本人是一名程序员,主要负责后端开发,已经做了10多年程序员了。 2. 本人有一台ECS服务器,在腾讯云上双11买的,2C4G + 5M带宽三年话费1000不到。 3. 平时自己喜欢在上面搭建一些服务玩玩。 二、发现 有一天我在上面安装了hadoop玩,需要创建一个hadoop账号,并且给用户hadoop创建了一个简单的密码hadoop123(我真的是太懒了),同时开放了22端口的ssh服务(HDFS免密登录需要),第二天发现登录ECS机器异常卡顿,敲命令也延迟的厉害。直觉告诉我应该是我电
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1228
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
阿里云服务器挖矿病毒了,名称为 kinsing
qq_40215763的博客
05-06 4451
五一本来就没有过好,上班来了第一天同事就说页面打不开了 不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了 赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...
kdevtmpfsi & kinsing 挖矿病毒
chizhou52501314的博客
03-03 1458
一直寄希望于暂时不会被攻击,事实证明互联网不会让你失望,网络险恶,“裸奔”慎重,只要你裸着,肯定会有人发现你,保护好自己最重要
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
挖矿病毒清除)kdevtmpfsi 处理
最新发布
可乐要加冰!!!
03-19 1506
挖矿病毒清除)kdevtmpfsi 处理
hadoop集群崩溃,因为tmp下/tmp/hadoop-hadoop/dfs/name文件误删除
longshenlmj的专栏
07-19 5760
hadoop执行start-all后,显示正常启动。 starting namenode, logging to /opt/hadoop-0.20.2-cdh3u0/logs/hadoop-hadoop-namenode-localhost.localdomain.out localhost: starting datanode, logging to /opt/hadoop-0.20.2-c
Hadoop3.1.3安装教程_单机/伪分布式配置
耶耶猫猫的博客
09-27 3975
本文介绍了Hadoop3.1.3安装以及单机/伪分布式配置。
hadoop3.2启动报错:hadoop/libexec/hadoop-functions.sh: line 398: syntax error near unexpected t
W
02-24 3533
1. Hadoop3.2.0启动报错 [ec2-user@master ~]$ sh $HADOOP_HOME/sbin/start-all.sh /usr/local/src/hadoop/libexec/hadoop-functions.sh: line 398: syntax error near unexpected token `<' /usr/local/src/hadoop/libexec/hadoop-functions.sh: line 398: ` done < <(
关于Flink访问HDFS出现 Hadoop is not in the classpath/dependencies 的问题
weixin_45052199的博客
03-20 5414
Could not find a file system implementation for scheme 'hdfs'的问题
【问题处理笔记】服务器处理kdevtmpfsi挖矿病毒
野臻
12-25 1万+
公司服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi和networkservice两个进程占用导致的。两个进程都为挖矿程序。 处理步骤如下: 一、networkservice进程处理 祥见该文章 https://blog.csdn.net/daiyuhe/article/details/95683393 二、kdevtmpfsi进程处理 见该文章 ht...
Linux服务器中的 kdevtmpfsi 挖矿病毒
weixin_51349952的博客
07-03 573
2021.7.2日(周五)邻近下班,突然旁边的小美同事急促的告知我网站后台上不去了,然后就上服务器上去看,一看发现内存占用变成90%左右,当时一惊,那就加个班吧~ 使用top命令查看后,发现有个进程占了很大资源,这个进程就是kdevtmpfs,Google 一下才知道,好家伙,服务器被当成矿机了 top 这个进程以及相关进程,都是运行在 www 用户下,并且会加上一个定时任务 直接 kill 并不能将其结束掉,它还有守护进程及可能存在的定时任务。 1. 查看定时任务 crontab
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 8114
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
查杀kdevtmpfsi挖矿病毒
c123m的专栏
06-08 459
1. top找到PID [root@demo ~]# top PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 15843 yarn 20 0 2653576 2.3g 996 S 100.0 15.0 11:23.75 kdevt
记一次服务器服务器kdevtmpfsi病毒的解决
Dark_AK44的博客
06-08 1695
服务器 被植入 kdevtmpfsi 病毒,治标治本
清理kdevtmpfsi、dbused挖矿木马程序
qq_42672132的博客
08-24 749
一、出现的问题 今天早上一看服务器集群,cpu被占满,Hadoop集群被干爆,然后top一下,看到占用最高的是kdevtmpfsi,另一个节点是dbused占满。 搜了一下,都是挖矿程序。 二、解决思路 网上很多的方法都试了,但是挖矿进程还是不断重启。像 1、关闭守护进程(后面没有守护进城了,木马进程还是会重启) 2、删除/tmp/下相关的文件(看名字,和木马进程差不多) 3、删除crontab内容(会被植入定时程序,我关闭了crontab,但是木马程序依旧重启) 4、修改木马文件权限(会换个名字继续来,原
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值