Centos7/8 kdevtmpfsi病毒处理

最新推荐文章于 2024-05-01 15:13:50 发布
最新推荐文章于 2024-05-01 15:13:50 发布
阅读量675 收藏
点赞数 1
分类专栏: 避坑 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42366275/article/details/111318728
版权

问题描述:

top命令查看,资源被kdevtmpfs占满,导致云服务器大量服务被关

原因分析:

这种病毒入侵的方式很多,redis,ssh,nginx,mariadb,博主遇到的是redis入侵,建议设置密码,不允许外网访问,因为redis一般是后端使用,后端使用如jar包,jar包访问完全在redis本机访问,访问地址让后端写127.0.0.1即可,或者配置文件在bind选项里面指定访问ip,具体配置看我之前redis教程修改配置文件项即可

解决方案:

crontab -r   # 清除定时任务
ps -aux |grep kdevtmpfsi |grep -v grep|cut -c 9-15 |xargs kill -9
ps -aux |grep kinsing |grep -v grep|cut -c 9-15 |xargs kill -9  # 关闭进程
yum -y remove e2fsprogs
yum -y install e2fsprogs   # 要删除的病毒被加了隐藏属性导致无法删除,病毒把去除隐藏属性的命令给删了,重装即可
chattr -i /etc/newdat.sh
find / -name kdevtmpfsi
rm -rf    # 查看是否还有文件所在,chattr -i然后删除即可
find / -name kinsing
rm -rf    # 查看是否还有文件所在,chattr -i然后删除即可

# 一般这样就结束了,查看一下是否还存在残留即可
crontab -l
ps -ef |grep kdevtmpfsi
ps -ef |grep kinsing
find / -name kdevtmpfsi
find / -name kinsing     # 这些都没有则结束,有则删干净即可
toolManWangMou
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
定时备份脚本Centos7/windows10.zip
06-08
Centos7/windows10 定时备份脚本(仅供自己使用)
Centos7/8下.vimrc脚本固定格式配置
04-14
Centos7/8下.vimrc脚本固定格式配置
Linux 系统安全检查
键盘上温暖而又美好的时光
11-28 1658
Linux 系统安全检查
Linux系统管理----centos7系统进程管理
热门推荐
m0_57911290的博客
03-06 3万+
目录 一、进程概念 1.进程组成部分: 2.僵尸进程: 3.线程: 4.上下文切换: 5.中断处理: 6.进程的属性 二、ps查看进程工具 1.-aux弹出消息及详解 2、linux进程有5种基本状态 三、free 查看内存使用情况 1.弹出消息及详解: 三、uptime 查看系统负载 1.弹出消息含意如下: 四、top 命令 动态性能分析工具 1.每行信息 2.top 快捷键: 五、lsof 命令 用于查看你进程调用、打开的文件 六、kill 关闭进程 1)ki
Linux中挖矿病毒清理通用思路
dayouzi的博客
04-19 3340
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 6814
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
一次centos7.3系统中病毒排查经历
Focus on k8s and python
09-05 8888
      一个环境,突然使用很卡顿,于是用top查看什么进程占用了资源,发现进程中有大量b开头的进程,基本确定系统是中病毒了。 如上图,top显示大量b开头进程,进程号还不停的变。快速用lsof -p <PID>,查看一个病毒进程,结果如下 lsof的输出来看,病毒进程程序体被删除了。尝试用rm去删除程序体也显示无文件。 于是用ps命令查看进程情况,竟然发现无法列出...
centos7 运维之恶意进程
平头哥(Adger)的博客
02-18 1401
有时候服务器上会莫名奇妙出现一些进程占用极高cpu,导致服务器满负载,解决方式如下: 1. 使用top明亮查看服务器资源现状 2 查询进程信息: 命令: ll /proc/进程id 3. 删除执行文件并kill 进程 ...
Centos7病毒排查[tsm][kswapd0]
weixin_45552912的博客
02-24 444
看一下主机的资源使用情况 先按照腾讯云文档给的建议走走 腾讯云文档url:https://cloud.tencent.com/document/product/296/9604 == last 命令无异常 less /var/log/secure|grep ‘Accepted’ 查了一个ip,为美国的 看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧 找找病毒在哪里 netstat -ntlp 貌似没啥问题呢 netstat -antlp 7. 在这里看到了..
linux服务器Centos7病毒记录
on the way . . .
03-23 2609
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次,记录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
Linuxcentos7/8)基础命令详解
12-09
Linuxcentos7/8)基础命令详解
Centos7 yum安装MySQL8
02-28
本文档是MySQL官方文档,内容是如何在Centos7环境下用yum工具安装MySQL8。
Centos7运用/dev/shm进行网站优化
09-15
主要介绍了LINUXCentos7运用/dev/shm进行网站优化相关知识点,对此有兴趣的朋友参考学习下。
Linux』 第一章 基本操作指令(上)
m0_54443558的博客
04-28 890
Linux 基本指令
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 217
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
Linux】详解信号产生的方式
m0_74265792的博客
04-26 1996
Linux】详解信号产生的方式
Linux:浏览器访问网站的基本流程(优先级从先到后)
fox_kang的博客
04-28 686
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
Linux 第十八章
最新发布
一怀明月的博客
05-01 1069
程序地址空间 区间的地址分布 真正理解同一个地址进行读取不同内容 地址空间 虚拟地址和物理地址 虚拟地址: 物理地址: struct mm_struct 页表
linux 信号
l2894的博客
04-27 787
设定闹钟是再OS内部,OS内可能有很多进程使用闹钟,所以OS要管理所有的闹钟,先描述,再组织,所以内核中一定要有描述闹钟属性的结构体,并用特定的数据结构组织起来,这里可以使用小根堆来对闹钟进行管理。),并保存在指定寄存器中,当中断发生时,CPU会暂停当前正在执行的程序,并保存当前进程的上下文数据,然后查找中断向量表,找到与中断号对应的处理函数的地址,回调方法。同时CPU有很多针脚,和外设物理连接,每个针脚有自己的编号,键盘按下按键会给特定的针脚发送高电平,触发硬件中断,CPU会识别到针脚的编号(
centos7 /dev/root
09-07
在CentOS 7中,`/dev/root`是一个符号链接,它指向系统的根文件系统。它通常用于引用引导过程中使用的根设备。这个符号链接可以通过运行以下命令来查看: ``` ls -l /dev/root ``` 这将显示该符号链接的目标文件。请...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值