记一次云服务器被挂了kdevtmpfsi挖矿病毒的解决

已于 2023-05-29 09:42:32 修改
阅读量381 收藏
点赞数
分类专栏: linux 文章标签: 服务器 运维
于 2023-05-26 14:39:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiantianga6883/article/details/130886152
版权

前言

最近服务器的mysql响应总是特别慢,一开始没注意,后来偶然一次打开云后台显示cpu都快冒烟了,这不完犊子了,指定成矿机了,用top一看果然有个kdevtmpfsi进程霸榜。
在这里插入图片描述

分析

我怀疑是开放了redis的6379端口,又因为懒设置了弱密码,被扫描到连上了,随后持久化的目录被修改为/root/.ssh,把他的私钥同步进去了,那可不是如入无人之境嘛。

清除策略:

1.杀死病毒进程

主进程kdevtmpfsi ,守护进程:kinsing。先杀死进程,否则响应太慢了

ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi
2.查看是否有病毒定时任务

使用crontab -l查看果然定时任务,单单杀进程删文件不行,他还会定时下载回本地,使用crontab -e剔除病毒任务,然后使用service crond restart重启定时器
在这里插入图片描述

查看密钥区域是否有异常私钥

查看/root/.ssh/authorized_keys文件,果然多了一个不认识的密钥,将其去除。
在这里插入图片描述

总结

端口能不开启就别开,别偷懒。像redis这种服务,使用强密码,并且开启保护模式,不允许外网连接。可以写一个脚本检测服务区使用情况,如果异常就用机器人提醒。

原创不易,欢迎点赞收藏,转发请注明出处

A西北砂石料王彪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一次Centos服务器马的抓马经历
09-15
主要介绍了一次Centos服务器马的抓马经历分享,非常不错,具有参考借鉴价值,需要的朋友参考下
针对kdevtmpfsi病毒内容的分析与清理
a1308422754的博客
12-28 3万+
中毒症状: 服务器cpu负载升高 top查看进程 会发现一个名为kdevtmpfsi 的程序在占用 杀掉之后重启可以推测有守护进程 排查后守护进程为kinsing 杀掉守护进程 间隔一会又重新启动 定时任务中有每秒都在执行的脚本 要删掉 间隔一星期或者两个星期又卷土重来 建议 挖矿程序可以通过docker镜像下载服务和redis 动态加载配置 获取主机权限 1、平时中间件要绑定内网网卡,禁止bind 0.0.0.0的情况出现 2、用低权限用户启动 3、统一更换常用端口 4、redis设置2.
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 7009
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
linux服务器 kdevtmpfsi solrd 病毒处理 住一定要多删除几次。重启
最新发布
Super_man54188的博客
02-20 954
所有中病毒 无非是cpu内存占用高 一定要断公网地址 修改root密码 删除history历史录 history -c 映射端口也要注意 solrd病毒 公司服务器负载突然上来了,用top命令查看,发现了一个很诡异的进程 然后grep这个进程的进程号,发现是运行在/tmp/.solr/solrd下;于是赶紧杀进程,删程序,负载就下来了;但是还没有完,用top命令再次查看的时候惊...
Linux服务器中的 kdevtmpfsi 挖矿病毒
weixin_51349952的博客
07-03 522
2021.7.2日(周五)邻近下班,突然旁边的小美同事急促的告知我网站后台上不去了,然后就上服务器上去看,一看发现内存占用变成90%左右,当时一惊,那就加个班吧~ 使用top命令查看后,发现有个进程占了很大资源,这个进程就是kdevtmpfs,Google 一下才知道,好家伙,服务器被当成矿机了 top 这个进程以及相关进程,都是运行在 www 用户下,并且会加上一个定时任务 直接 kill 并不能将其结束掉,它还有守护进程及可能存在的定时任务。 1. 查看定时任务 crontab
云服务器挖矿病毒了怎么办?
编码人生
11-22 7414
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去查看当前实例的情况 果然不出我所料,挖矿程序疯狂压榨我的服务器,导致服务器cup占用率都到100%了 好的,写作素材又有了 首先我们知道服务器挖矿病毒了,一般情况下中了挖矿病毒,有些病毒入侵较深的话,关联到系统底层组件,是很难彻底清除的.从安全角度不建议继续使用这个系统,可以做好快照的前提下,通过重置系
服务器挖矿病毒解决方案
夜栩的博客
08-14 164
2.被恶意的连接连接上后,在他的机器上生成ssh秘钥,然后set到redis中,最后使用redis的config命令,将默认RDB方式出来的dump.rdb文件修改为authorized_keys,然后把文件的目录设置到/root/.ssh下。一般,Linux下root用户的权限是最大 (Linux下UID数值越小的用户,权限越大,可以看到最小值为0,即root用户)3.这样一来,就非常危险了,攻击者可以直接ssh到你的linux主机,接下来,root账户,为所欲为。被挖矿也就不稀奇了。
云服务器挖矿病毒解毒方案
qq_43792852的博客
04-29 1030
CPU占用率100% 但是top命令查不出来 阿里云服务器不小心中了挖矿病毒,可能是因为连接Redis的时候关闭了防火墙,或者是口令太弱 1.先大概还原了病毒攻击思路 2.知道它的攻击方式,就可以对症下药了 想到了两个解决方法 重装系统(方便,但是辛苦配的环境就没了) 删除恶意脚本(不好找脚本位置,病毒会隐藏) 3.这里我采用了删除脚本的方案 先用top命令查看哪个进程占着CPU 用 top 命令查看CPU情况 改用 pidstat 命令 知道了问题进程PID事情就变得好办了,直
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
挖矿kdevtmpfsi病毒处理
感冒石头的博客
05-14 976
通过top命令可以看到kdevtmpfsi导致CPU 700%多,导致该病毒只要是通过redis漏洞进来的。1、该病毒还有守护进程,如果光kill掉该病毒,过段时间又起来的。守护进程:kinsing 2、该病毒还有定时任务、如果光杀死kdevtmpfsi和kinsing没有用,定时任务会再度重启这两个进程。解决办法:1、设置redis只对当前服务器或者指定服务器放开。取消掉 bind 0.0.0.0 设置 bind 127.0.0.1 或者加其他ip ,2、crontab -l ----》可以在...
云服务器异常测试kdevtmpfsi.rar
12-31
云服务器kdevtmpfsi测试版和处理方法 CPU 会大于100%
一次Ubuntu服务器被黑经历
09-15
最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了好几天,开始并没有关注,然后连续几天后发现应该是个大问题啊,很可能服务被侵入了。下面通过本文给大家分享下详情
一次公司仓库数据库服务器死锁过程及解决办法
09-10
根据操作系统中的定义:死锁是指在一组进程中的各个进程均占有不会释放的资源,但因互相申请被其他进程所站用不会释放的资源而...下面小编给大家分享一次公司仓库数据库服务器死锁过程及解决办法,需要的朋友一起看看吧
一次入侵Linux服务器和删除木马程序的经历
09-15
主要介绍了一次入侵Linux服务器和删除木马程序的经历的相关资料,需要的朋友可以参考下
Linux被kdevtmpfsi挖矿病毒入侵解决方案
qq_42836447的博客
01-10 233
转载:阿里云服务器挖矿病毒了,名称为 kinsing
关于云服务器挖矿病毒入侵这件事的经过
Innocence_0的博客
01-31 382
关于云服务器挖矿病毒入侵这件事的经过
kdevtmpfsi & kinsing 挖矿病毒
chizhou52501314的博客
03-03 1241
一直寄希望于暂时不会被攻击,事实证明互联网不会让你失望,网络险恶,“裸奔”慎重,只要你裸着,肯定会有人发现你,保护好自己最重要
挖矿病毒 kdevtmpfsi 的处理办法
weixin_42329623的博客
04-02 1523
挖矿病毒 kdevtmpfsi 的查找与处理办法
Linux服务器成功处理kdevtmpfsi挖矿程序,亲测有效!
x-dragon8899的博客
09-04 779
通过 top 命令查看服务器,发现CPU资源使用一直处于100%的状态,原因是kdevtmpfsi进程占用了CPU,现需处理掉这个挖矿程序。发现没有 kdevtmpfsi 进程占用CPU,清理成功!服务器CPU从52%恢复为3.5%!
怎么查看自己的云服务器是否被挖矿
06-10
如果您怀疑自己的云服务器挖矿了,可以通过以下方式进行验证: 1. 查看系统进程:使用`top`或`ps`命令查看系统进程,查找异常的进程并确认其是否为挖矿程序。 2. 查找可疑文件:使用`find`命令查找系统中的可疑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值