kthreaddk 挖矿病毒的解决

最新推荐文章于 2024-04-30 10:59:44 发布
最新推荐文章于 2024-04-30 10:59:44 发布
阅读量1.6k 收藏
点赞数
文章标签: jenkins 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zylfarzero/article/details/125918253
版权

疫情其实,为了方便大家居家办公,我把部署在公司内网的SVN,JENKINS等服务,都通过端口映射形式,可以外网访问。结果不久,就造成了kthreaddk病毒的入侵,网上很多方法我都试过了。总不能彻底解决。

我crontab服务停止,kthreaddk进程KILL后,监控kthreaddk进程,可能很久都kthreaddk不会启动,但是每天不知道什么时间,这个进程又启动了。

无意中,我在我的JENKINS里,发现了有一个 UpdateJenkins 任务,虽然这个任务总是失败状态,以前我一直以为这是JENKINS的自动升级的任务,我点开这个任务,看到这里面有定时的处理。于是删除这个任务 ,并且彻底 rm -rf /var/lib/jenkins/workspace/UpdateJenkins

再重启JENKINS,终于解决了。再也不用每上班时间,不停登录查询情况,杀进程了。

JENKINS病毒的原因,为了方便公司所有的操作,我的JENKINS,发布时,不需要登录造成的。

这个JENKINS端口一开放,就给一病毒可趁之机啊!

zylfarzero
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kthrotlds kill.zip
05-14
总的来说,这个压缩包为Linux用户提供了处理kthrotlds问题的工具和方法,包括使用BusyBox进行系统清理,并通过DDG_MalWare_Clean_Tool来识别和解决可能与kthrotlds相关的恶意软件或性能问题。对于系统管理员和高级...
[kthreaddi]挖矿病毒处理,终于解决了!
热门推荐
weixin_41599103的博客
04-02 1万+
云服务器被黑了,kthreaddi这货导致的。 kill后会自动重启。 定时器查看,有定时任务,关闭定时任务,还是会出现新的,每次都是不同的目录。 找到其中一个文件,搞了很长时间才知道是一个elf文件还用upx3.96加了壳。去壳后,从3.91M变成10.23M. 使用strings命令导出到txt文件,惊喜来了,终于找到kthreaddi程序名。文件里的有点看不懂,有大神知道怎么弄吗?(文件下载)(下载不了的话可以评论区留下邮箱,) ...
kthreaddk挖矿病毒处理
chenxiao17301的博客
08-08 635
kthreaddi
OA系统被入侵挖矿排查
最新发布
为了生活,不得不努力奋斗!
04-30 722
当时的出现的情况是:执行 top、w、netstat命令的时候,会出现卡住的情况,无法正常使用我就知道大事不妙,然后我就下载了ss lsof等命令,结果还是很慢,啊啊啊啊啊虽然这个挖矿程序已经下线了,估计早就被打掉了(TMD),但是它一直就往外部连接,看着真的很烦,这个挖矿不用以往的挖矿程序,这个程序简单了看了一下,隐藏的特别深。确定了没错了,就是这个/lib/libcurl.so.2.17.0 库,我该怎么办呢,换一个吧,换个没事情的动态库,思路没啥毛病,搞起来。还是原来的方法,替换就完了!
记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU飙高处理
Mr_chenchen的博客
03-01 2709
kthreaddk和rcu_bj进程,cpu飙高 占用一般cpu或者50-70%
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
weixin_51906455的博客
01-31 220
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1671
没成功,只是记录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
linux内核kthreadd函数,Linux内核 | 进程管理
weixin_36462387的博客
05-07 414
1. 进程和线程1.1 定义进程是处于运行状态的程序和相关资源的总称,是资源分配的最小单位。linux线程是进程的内部的一个执行序列,是CPU调度的最小单位。缓存有一段可执行程序代码。有一段进程专用的系统堆栈空间和系统空间堆栈。有进程描述符,用于描述进程的相关信息。有独立的存储空间,也就是专有的用户空间,相应的又会有用户空间堆栈。Linux系统对于线程实现很是特殊,他并不区分线程和进程,线程只是一...
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1158
CentOS处理挖矿病毒 - kthreaddk
记录下云服务器kinsing,kdevtmpfsi,kthreaddk等病毒的处理与个人所得
feng_ling_97的博客
12-13 5411
记录下云服务器kinsing,kdevtmpfsi,kthreaddk等病毒的处理与个人心得至于怎么发现kdevtmpfsi和kthreaddk此处就不赘述了(不知道的也找不到这里来),此文说下怎么排查处理及后续防护。(懒得截图,主要讲思路)一. kdevtmpfsi获取病毒相关信息及守护进程(图就不截了,按照思路走。此处假设kdevtmpfsi的进程id为15365,kinsing的进程id为15240)由于我的服务器,不同中间件和应用,都是分配的不同用户启动的,很容易就知道病毒从哪来的,所以直接把对应中
服务器(centos7)使用docker被病毒攻击,导致cpu100解决方案
weixin_43691942的博客
10-29 3074
#!/bin/bash openssl genrsa -aes256 -out ca-key.pem 4096 openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem openssl genrsa -out server-key.pem 4096 openssl req -sha256 -new -key server-key.pem -out server.csr openssl x509 -req -days 3650
阿里云服务器被[kthreaddi]挖矿病毒攻击
chun的博客
05-29 685
首先我根本https://blog.csdn.net/weixin_41599103/article/details/115403332这个博客试了下并没有成功,所以应该是被侵入的程序不一样 先去阿里云里看一下详情 明确告诉了是通过docker被攻击了,先将wordpress容器停止并删除容器和镜像 kill掉进行,如果有定时任务和文件就删掉(命令上面博客里有) 我直接将安全组端口先都关闭了,留下22,然后重启后就好了。 ...
Docker存在的安全问题,如何解决
weixin_42449832的博客
03-17 1334
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
通过docker避免本机中病毒
qq_33441128的博客
01-30 462
docker for windows 实现浏览器与宿主机隔离
自有服务器(2台)被 kthreaddk木马挖矿解决过程(实操)不重启服务器
wscwsc58888的专栏
12-12 1141
自有服务器被 kthreaddk木马挖矿解决过程(实操)不重启服务器
kthreaddk解决方案
qq_41882485的博客
05-07 2120
今天服务器突然飙升300%当时人有点麻,查看top中cup使用率发现: 问题kthreaddk这个是啥,百度发现原来是个挖矿病毒,今天也是够头疼的啦,首先遇到这种情况第一件事就是百度,可是百度发现问题并不能得到解决,kill kthreaddk进程还是会重新运行改进程,首先我们需要确定为什么它会重新运行改进程: 1:存在定时任务->排查: 执行命令:crontab -l 发现一个未知文件,使用 crontab -r清除改执行任务,删除文件,在重启crontab:service crond resta
Linux服务器被植入kthreaddk挖矿程序后处理方案
猿谋人、
03-30 4859
今天早上一过来上班就收到客户反馈,小程序无法上传图片了,经过日志排查发现服务器tmp文件目录被删了,导致上传失败异常。同时我发现服务器CPU爆满,查看进程就发现不对劲,似乎有问题。 查询了一下占用进程名,发现是个挖矿木马。 使用top命令,查看内存消耗。 我发现kill了过一段时间又会重新启动,删除定时任务也无法解决。 最后为了保证服务器的可用先,我直接停止了定时任务的使用。 crontab -r 再kill了进程,服务器不堵塞恢复正常使用了。然后慢慢清理木马! ...
记一次解决阿里云中挖矿病毒(kthreaddk)方法
imning1的博客
06-06 1690
通过top命令查看占用最高的是这个进程,杀掉之后重复操作
Linux下清除挖矿病毒kswapd0
zc20081111的博客
04-01 803
文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调,一定要修改密码,强度要高,设置了类似Pass1234这类简单密码,直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。
记服务器被入侵挖矿病毒kthreaddi处理解决过程思路
lampol
04-01 1万+
今天突然收到很多阿里云发来的短信,然后去看看网站打不开了 cpu直接干到了90%,然后top一下看看 看到 kthreaddi 就大体明白了,前几天也有一个阿里云机器,也是有这个进程 但是当时服务器 还有一天就过期 也没有用,然后就没管。但是今天这个必须要管了。 首先第一步 kill一下进程探探路,发现并没有什么卵用,kill掉后马上又会重启,当然了他们也没有那么傻,好不容易能够入侵,怎么可能那么容易解决。 先去找找这个东西[kthreaddi],是干什么的? ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值