linux清理挖矿病毒kdevtmpfsi,sysupdate, networkservice

最新推荐文章于 2024-03-19 19:34:58 发布
最新推荐文章于 2024-03-19 19:34:58 发布
阅读量896 收藏 3
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45383198/article/details/107509470
版权

突然发现公司测试服务器CPU过高,是这两个sysupdate, networkservice进程,很明显是被挖矿了,网上参考,总结一下,方便下次使用

病毒会把一些文件给加i锁或a锁,导致无法修改数据,所以某些操作需要清除锁

这个是kdevtmpfsi的守护进程,把它kill掉,然后kill掉kdevtmpfsi,然后删文件.

 ps -aux | grep kinsing

[root@localhost tmp]# ps -aux | grep kinsing
root     11459  0.0  0.0 112812   968 pts/0    S+   11:57   0:00 grep --color=auto kinsing
root     26969  0.0  0.2 718976 33056 ?        Sl   05:43   0:01 ./kinsingwtCDqh7M9U

清除定时任务

chattr -ai /var/spool/cron
chattr -ai /var/spool/cron/root
crontab -r

lsattr 查看
chattr -i 去除i锁
chattr +i 加i锁

sysupdatenetworkservice以及一些伴生文件sysguardupdate.shconfig.json都在/etc/下,同样的,除锁,删文件

chattr -i /etc/networkservice
rm -rf /etc/networkservice
chattr -i /etc/sysupdate
rm -rf /etc/sysupdate
chattr -i /etc/sysguard
rm -rf /etc/sysguard
chattr -i /etc/update.sh
rm -rf /etc/update.sh
chattr -i /etc/config.json
rm -rf /etc/config.json

然后干掉进程
利用top就能看到networkservice,sysupdate的PID,然后

kill -9 PID号

在/tmp下有一个kdevtmpfsi,这个也是病毒带来的

chattr -i /tmp/kdevtmpfsi
rm -rf /tmp/kdevtmpfsi

顺便清除掉 .ssh/authorized_keys内陌生的主机,因为没有设置这个,就直接清空了

chattr -i /root/.ssh/authorized_keys
echo "" > /root/.ssh/authorized_keys

最后修改回来被病毒修改的文件

mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl
如果病毒又重新启动了,就在删一遍,最好把防火墙跟selinux都打开,只开放一些指定端口
开心的布鲁克
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一次真实的应急响应案例——篡改页面、sysupdatenetworkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 7648
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1144
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
学习Linux须知1.1之Linux属性、权限,以及解决你没有权限操作此文件
伟庭的博客
05-24 3418
学习Linux须知1.1之Linux属性、权限,以及解决你没有权限操作此文件
挖矿病毒 kdevtmpfsi 的处理办法
weixin_42329623的博客
04-02 1565
挖矿病毒 kdevtmpfsi 的查找与处理办法
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 827
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
渗透模拟实战(含靶场与样本)——篡改页面、植入样本(sysupdatenetworkservice)——靶场与样本下载百度链接
03-02
模拟攻击者实战--靶机、工具、样本,亲测真实有效可用。如有侵权请联系CSDN管理员删除即可
ZendOptimizer.MemoryBase@NETWORK SERVICE问题解决方法
09-30
主要介绍了Windows服务器下出现ZendOptimizer.MemoryBase@NETWORK SERVICE问题解决方法,需要的朋友可以参考下
计算机病毒与防护:Linux报文捕获.pptx
06-10
用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、...
Linux 性能监测:Network
07-20
本文是关于Linux 性能监测:Network
记一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
小陈没烦恼
12-04 773
前言 今天登上服务部署个文件,然后顺便看了一下cpu占用情况,然后我就发现CPU爆满,因为之前遇见过这个问题让别人给解决了,据说这是被挖矿了。通过kill命令结束掉这个进程一会就自己有起来了,所以我就百度了一下。看来还真有小伙伴跟我一下,所以我也自己记录一下,方便以后查看。 查看CPU使用情况 通过top命令查看cpu占用情况,发现有一个程序占用90%多的cpu资源,那么着肯定是不正常。而且我们的发现他个伪装成了系统更新,可能小白中的小白就真的误以为系统更新占用了cpu。 删除木马...
kdevtmpfsi & kinsing 挖矿病毒
chizhou52501314的博客
03-03 1359
一直寄希望于暂时不会被攻击,事实证明互联网不会让你失望,网络险恶,“裸奔”慎重,只要你裸着,肯定会有人发现你,保护好自己最重要
Linux 特殊权限a,i,t,s以及查找带有特殊权限的所有文件(修订版---2022-11-11)
zsk_john的技术分享专用博客
11-10 4007
特别需要注意,SUID作用对象只是二进制可执行文件,SGID作用对象可以是文件夹也可以是文件。不可移动(mv命令对此权限无能为力),不可修改,不可追加,(因为不可移动所以)不可删除,特殊在它们的设置都是专用命令chattr命令。
记一次解决kdevtmpfsi挖矿病毒
u010737670的博客
05-10 980
ikdevtmpfsi病毒不断出现的解决历程。。。
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
chattr命令,加i锁和加a锁方法和作用
weixin_30955617的博客
08-10 2416
利用chattr命令可以锁定系统中一些重要的文件或目录,命令格式:chattr [-R] +/- i/a文件-R:递归修改所有的文件及子目录,这是一个可选项。+:增加扩展属性;-:减少扩展属性;i:只读属性,增加该属性之后,任何人包括root用户也无权写入更改;a:追加属性,增加该属性之后,只能向文件中添加数据,而不能删除原有数据。 转载于:https://www.cnblogs.com/shi...
挖矿病毒清除)kdevtmpfsi 处理
最新发布
可乐要加冰!!!
03-19 1402
挖矿病毒清除)kdevtmpfsi 处理
kdevtmpfsi ,kinsing xxxx 挖矿病毒清理
在IT技术的世界,天天向上↑
01-02 8296
1、top找到挖矿程序(kdevtmpfsi)进程号 CUP 占用100% 若是服务器本身(非容器如docker内)被挖矿 则参考 杀死这个线程 ps -ef |grepkdevtmpfsi ps -ef |grep kinsing 直接kill -9 (PID) 把这个线程干掉了 过一阵子又回来了..... 甚至 find / -name kdevtmpfsi 发现再 ...
记一次服务器云服务器“kdevtmpfsi病毒的解决
Dark_AK44的博客
06-08 1621
云服务器 被植入 kdevtmpfsi 病毒,治标治本
linuxnetwork service
04-12
的启动顺序是什么? 网络服务的启动顺序如果按照内核启动顺序,应该是: 1. 网络协议栈初始化(包括路由、ARP、ICMP等) 2. 网卡、驱动初始化 3. 网络文件系统(NFS)初始化 4. 网络接口初始化 5. DHCP 客户端启动 6. DNS 客户端启动 7. TCP/IP 客户端启动 8. DHCP 服务器启动 9. DNS 服务器启动 10. TCP/IP 服务器启动 但实际上不一定按照这个顺序启动,因为不同的发行版和版本配置不同,所以具体启动顺序还需要参考相应的文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值