【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入

最新推荐文章于 2024-03-19 19:34:58 发布
最新推荐文章于 2024-03-19 19:34:58 发布
阅读量1.6k 收藏 6
点赞数 1
文章标签: postgresql 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42763696/article/details/130882973
版权

起因

postgreSQL我做错了这几件事情

  1. 开启了全部IP登陆权限
  2. postgreSQL用的是默认用户名和密码
  3. 用户postgres也没有设置密码,直接用su - postgres就能登陆

不知道是什么原理,反正服务器被侵入,并且注入了病毒文件

在这里插入图片描述

1. 基本信息排查

linux服务器被挖矿的解决办法
记一次公网postgresql数据库服务器被入侵为矿机的定位过程
服务器被黑客用来挖矿?怎么办?
挖矿入侵Linux系统排查步骤

使用top定位程序,以及查看程序的脚本

首先使用top命令,发现占用内存最高的程序
在这里插入图片描述

来自ChatGPT的回答
如果你已经确定了某个进程或者命令的 PID,那么可以使用以下命令反向定位是哪条指令对应着该进程或命令:
cat /proc/<PID>/cmdline

发现该命令在/tmp目录下
在这里插入图片描述

检查host是否被篡改

使用cat /etc/hosts,发现host被篡改,删除即可

在这里插入图片描述

检查定时任务

这一部分可以具体参考https://blog.csdn.net/JAVA88866/article/details/124767688

输入crontab -e查看定时任务
注意:我用root账号登陆的时候,执行该指令没有任何东西。但是当我su - postgres的时候再执行,就发现了这个定时任务
在这里插入图片描述
删除定时任务,如果不放心,可以停止定时任务

2. 删除挖矿任务

由于该挖矿任务是个常见任务,因此网上很多教程,我参考的是
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除

1.首先,top 系统进程

2.接着输入命令 systemctl status 12625,查看具体进程
也可以分别用以下两个命令查看进程
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

3.分别kill 掉这两个进程,一定要两个都kill掉,刚开始处理的时候只kill了主进行,没有处理守护进程,导致一会又挖矿机器> 又启动开始工作,cpu 又跑到100%
kill -9 5140 -9是彻底结束这个进程
kill -9 12625

4.删除两个进行的执行文件
rm -rf /tmp/kinsing
rm -r /tmp/kdevtmpfsi
服务器不同,可能路径不同,可以直接用命令查找
find / -name kdevtmpfsi
find / -name kinsing
找到后按照路径直接删除

5.查看kdevtmpfsi文件存在/tmp目录下,这边已将kdevtmpfsi文件权限取消,并结束进程

6.使用lsof查看该进程存在异常IP连接,比如:45.129.2.107,在服务器安全组中将该IP禁用,并重启服务器

7.最后,一定要重置系统上的所有用户密码,检查服务安全组,尤其是远程端口!!!

top

systemctl status PID

ps -aux | grep kinsing

ps -aux | grep kdevtmpfsi

kill -9 PID

kill -9 18534

rm -rf kdevtmpfsi

rm -rf /var/tmp/kinsing 这个守护进程的文件一定要干掉,也可以用这个命令

find / -name kdevtmpfsi

find / -name kinsing
UncoDong
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器安全警告处理(查找病毒的方法)
名猿妮的博客
04-23 1291
服务器安全警告处理(查找病毒的方法) 方法一 查找进程并强制杀死相应的进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 查找病毒文件kinsing kdevtmpfsi find / -name kinsing find / -name kdevtmpfsi 查看周期任务cron,不一定在root用户下,有可能在postgres(数据库),docker(容器),PHPTest(PHP单元测试) cd /var/spool/
rumpostgreswk 病毒程序
qq_44122254的博客
03-16 1974
朋友说他的服务器发消息有,拍完快照,给我说练练手,这算是我第一次接触 信息提示在tmp文件夹下面,进入打开进行查看,看到了提示的病毒程序 在此,同时看一下CPU的占用情况 原来学的linux操作命令,全都还给老师了,这次又现学了一下,如何查看内存的使用情况 查看内存的使用情况 Top PID:进程的ID USER:进程所有者 PR:进程的优先级别,越小越优先被执行 NI:进程Nice值,代表这个进程的优先值 VIRT:进程占用的虚拟内存 RES:进程占用的物理内存 SHR:进程使用的共享内
xmrig病毒导致Postgresql数据库掉线
kite99的博客
04-18 1218
xmrig病毒导致Postgresql数据库断线。清除病毒数据库工作正常。
记一次公网postgresql数据库服务器被入侵为机的定位过程
萝卜吃鱼914的博客
09-26 2763
今天中午群里有一个群友反馈pg服务器cpu使用率高达1700%,处于好奇自己就帮着他一起定位了一下问题,以下记录一下定位问题的过程方便以后做复盘管理! 现象截图如下: 一、查看cpu情况和服务器平均负载情况得知各个cpu的使用率并不是很高呀,为什么执行top命令看到postgresql进程的cpu使用是1700%呢?没有头绪我们继续往下看 二、查看一下服务器的负载情况呢 有问题了,你服务...
rumpostgreswk 病毒程序。杀除
王帅的博客
12-11 2074
今天阿里云发短信,说服务器发现病毒程序。我们来看看。怎么回事。 发现。postgres 用户启动了一个进程文件。这个文件,占用cpu非常高。就是他了。 我们来看看,他的启动路径在哪里? 发现。tmp下。这个config 文件,有问题。并不是postgres 的程序。 ./postgres_dm /tmp/rumpostgreswk --config=/tmp/config.json 发现这两个文件。就是病毒。 找到对应的路径。在/tmp下面。 发现这个文件夹里面很多都是异..
CVE-2018-1058 PostgreSQL 提权漏洞
weixin_51387754的博客
12-10 798
漏洞原理 PostgreSQL 是一款关系型数据库。其9.3到10版本中存在一个逻辑错误,导致超级用户在不知情的情况下触发普通用户创建的恶意代码,导致执行一些不可预期的操作。 ​ 普通用户连接到数据库—>注入危险代码—>等待超级用户登录触发后门—>收到敏感信息 影响版本:PostgreSQL < 10 漏洞复现 环境准备 打开漏洞存放路径:cd /home/guiltyfet/vulhub/postgres/CVE-2018-1058 docker-compose up -d
超级SQL注入工具使用说明书V1.1 20190303.docx
05-03
它不仅可以帮助测试人员快速发现和理解注入漏洞,还能通过详尽的发包记录辅助学习和解决问题。但请注意,此类工具的使用应当遵循合法和道德的边界,仅用于合法的渗透测试和安全研究,避免非法入侵行为,否则可能引起...
Mac系统重置PostgreSQL密码的方法示例代码
09-08
PostgreSQL 是一个免费的对象-关系数据库服务器(ORDBMS),在灵活的BSD许可证下发行。这篇文章主要介绍了Mac系统重置PostgreSQL密码的方法示例代码,需要的朋友可以参考下
CodeSmith8.0.1连接PostgreSQL报错问题解决
10-11
本文将详述CodeSmith 8.0.1版本在尝试连接到PostgreSQL数据库时遇到的问题,以及如何通过添加必要的DLL文件和理解连接字符串来解决这个问题。 首先,CodeSmith是一款强大的代码生成器,它允许开发者通过模板语言...
PostGreSql数据库修改密码或者端口
05-17
PG数据库的端口和密码修改
使用libsodium的PostgreSQL现代密码学。.zip
03-26
标题 "使用libsodium的PostgreSQL现代密码学" 暗示了这个压缩包可能包含一个项目或教程,涉及在PostgreSQL数据库系统中利用libsodium库实现现代密码学技术。libsodium是一个安全的C/C++库,设计用于简化密码学操作,...
服务器遭遇- kdevtmpfsi的处理
qq_47862162的博客
01-10 626
docker安装pg后遭遇???
linux处理kdevtmpfsi,kswapd0(病毒清除)
bluesease的博客
12-12 2943
kdevtmpfsi,kswapd0病毒问题处理
病毒清除)kdevtmpfsi 处理
最新发布
可乐要加冰!!!
03-19 1391
病毒清除)kdevtmpfsi 处理
kdevtmpfsi 病毒清除
u010227042的博客
03-11 1000
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
记一次处理程序引发的postgres 连接超时
奔跑的痕迹的博客
12-26 1501
进入服务使用top 查看cpu 使用情况 使用 ll /proc/pid号 查找进程 也可以使用 lsof ps 进程名称(有的linux 需要先安装yam install lsof) 首选我的postgres是使用docker 制作的一个容器,所以先要进入这个容器 *docker exec -it 容器id /bin/bash 进入容器后在登录postgres root@f82e7d3a9755:/# su postgres postgres@f82e7d3a9755:/$ psql 然后使用
CentOS中kdevtmpfsi病毒
jinglinggg的专栏
12-06 1335
CentOS中kdevtmpfsi病毒,几日的查杀,最终失败!
Linux服务器kdevtmpfsi病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
postgresql默认密码
05-23
PostgreSQL默认密码是没有设置的,安装时需要设置一个新的密码。如果您忘记了密码,可以通过以下步骤重置密码: 1. 停止 PostgreSQL 服务 2. 打开 postgresql.conf 文件,找到“pg_hba.conf”的位置 3. 在“pg_hba.conf”文件中添加以下行: ``` host all all 127.0.0.1/32 trust ``` 4. 保存文件并退出 5. 启动 PostgreSQL 服务 6. 打开命令行或终端,输入以下命令: ``` psql -U postgres ``` 7. 进入 psql 终端后,输入以下命令重置密码: ``` ALTER USER postgres PASSWORD 'new_password'; ``` 8. 退出 psql 终端并删除“pg_hba.conf”文件中添加的行 9. 重新启动 PostgreSQL 服务 请注意,这种方法会暴露您的 PostgreSQL 服务器,因此请确保在完成操作后删除“pg_hba.conf”文件中添加的行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值