kdevtmpfsi挖矿病毒中招与破解

最新推荐文章于 2025-09-30 08:29:21 发布
原创 最新推荐文章于 2025-09-30 08:29:21 发布 · 3.2k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博主因简单密码被破解,导致ECS服务器遭受挖矿病毒攻击。文章详细记录了从发现异常、初步清理到彻底解决的过程,最终通过更换密码、关闭默认SSH端口和实时监控等手段成功抵御病毒。

一、背景

本人是一名程序员,主要负责后端开发,已经做了10多年程序员了。
本人有一台ECS服务器,在腾讯云上双11买的,2C4G + 5M带宽三年话费1000不到。
平时自己喜欢在上面搭建一些服务玩玩。

二、发现

  • 有一天我在上面安装了hadoop玩,需要创建一个hadoop账号,并且给用户hadoop创建了一个简单的密码hadoop123(我真的是太懒了),同时开放了22端口的ssh服务(HDFS免密登录需要),第二天发现登录ECS机器异常卡顿,敲命令也延迟的厉害。直觉告诉我应该是我电脑的网络顿造成的(男人的直觉还真的不准)
  • 这样过了两天,依然还是卡顿,我就开始怀疑可能不是网络的原因。于是开启了linux命令行的检查(骚操作)
  • 执行top命令,然后ALT + P,发现有个进程名称为kdevtmpfsi,它占用了将近199%的CPU利用率,因为我是两核CPU,所以说明我的所有CPU计算资源都在执行这个该死的进程
  • 执行kill -9命令,杀掉进程,世界终于清静了
  • 然而好日子没有几分钟,系统又开始卡顿,top命令一看,我去,这个该死的进程kdevtmpfsi又来了,我意识到估计中招了(中毒)
  • 登录腾讯云平台,发现是hadoop账号被破解了密码,这么简单的密码,被破解不意外,只是没想到互联网的环境真的是好恶劣。
    在这里插入图片描述

三、清理病毒(一)

  • 先来百度一下你就上当(知道),这里插一句,我之前对百度没有什么好感,不过最近使用百度搜索,明显感觉搜索质量比以前提升了好多,广告也少了很多。
  • 搜索结果里有好多和我一样中招了的,并且附有杀毒策略,大体的清理病毒步骤如下:
    1)KILL掉kdevtmpfsi进程(第二部分已说明,不再详说)
    2)KILL掉kinsing进程(据说这个进程会监控kdevtmpfsi进程,如果kdevtmpfsi进程被kill了,还会被重新开启,这个就解释了为什么KILL掉kdevtmpfsi又会出来)
    3)清除kinsing文件,位置在/var/tmp/kinsing,这个是守护进程病毒的二进制文件,清理掉。
    4)清除kdevtmpfsi文件,位置在/tmp/kdevtmpfsi,这个是挖矿病毒的二进制文件,清理掉
  • 清理掉后,感觉整个人都轻松了,命令敲起来也溜溜的,真想对病毒的创造者说,小小病毒可笑可笑。对于我们后台开发者来说,清理这种病毒就是手到擒来。

最低0.47元/天 解锁文章
Linux应急响应-挖矿kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 5768
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿了 服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1428
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
Linux服务器上有挖矿病毒kdevtmpfsi如何处理
最新发布
运维老生常谈
09-30 1013
进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,:以上例举几点措施,不全。这里只是抛砖引玉的效果,更多的措施需要结合自己业务实际情况,否则就空中楼阁。挖矿病毒,最后删除 kdevtmpfsi 执行程序。服务器CPU资源使用一直处于100%的状态,通过。:kill 掉 kdevtmpfsi 守护进程。通过 google搜索,发现这是挖矿病毒。查看是否有可疑的计划任务。命令查看,发现可疑进程。有守护进程,见下图。
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3691
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
kdevtmpfsi 处理(挖矿病毒清除)
Ancoda的博客
04-26 8882
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
kdevtmpfsi 挖矿病毒清除
u010227042的博客
03-11 1160
保险:如果CPU还是高速运转,你只需重复第一步即刻,因为它的威胁文件被我删除了,如果还在跑我们清理。这个病毒大多数都是通过你的redis 程序侵入的,你只需要配置,所以你要配置你的redis配置文件。crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。这个病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑。vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥。进程,就不会再有了,
记一次云服务器挖矿病毒处理过程
Jach1n
02-01 374
记一次云服务器挖矿病毒处理过程
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7846
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
某云服务器挖矿病毒查杀日记
忆年--尘封的记忆
04-28 988
接手的某项目部署于某云平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧。但凡事总有个但是,近期发现云服务器CPU资源占用稳定在50%以上,且系统盘各目录被持续定入core.1234之类的陌生文件,导致磁盘空间占用超高。 紧接着操作服务器,不管执行什么命令,都会有这个错误提示: ERROR: ld.so: object '/usr/local/lib/libs.so' f.
jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
架构师小秘圈
05-14 5919
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可!一, 定位问题1.发现cpu异常,查看对应的进程信息[roo...
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
zhoukun915684080的博客
08-24 843
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系优快云管理员删除即可
清除挖矿病毒 kdevtmpfsi记录
第一天
05-17 474
某日登录服务器,查看到cpu使用异常 负载很高 查看下cpu进程使用情况 kdevtmpfsi 这个进程使用异常 28243 polkitd 20 0 2915868 2.3g 0 S 193.0 29.9 673812:14 kdevtmpfsi ps aux 查看下这个进程的路径 kill -9 28243 删除进程 查看是否存在定时任务 https://blog.youkuaiyun.com/qq_45186545/article/details/103853601 http
【应急响应】kdevtmpfsi挖矿病毒紧急处置
m0_74272345的博客
12-15 1132
师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天记录(哈哈哈哈哈哈哈哈哈哈哈)说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个记录同时是两条线在做,师姐在找杀毒软件,我在手动处理。
CentOS中kdevtmpfsi病毒
jinglinggg的专栏
12-06 1478
CentOS中kdevtmpfsi病毒,几日的查杀,最终失败!
挖矿病毒 kdevtmpfsi 处理--实操
读万卷书,行万里路
02-27 177
但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi。首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命令查看,见下图。至此杀毒工作基本进入尾声。
【服务器】挖矿病毒 kdevtmpfsi(一针见效)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
07-23 1200
附:尝试了许多普通kill 和 rm 操作,发现根本无法解决问题。分析原因在于定时任务为删除掉。 状态:CPU爆满,导致线上服务宕机。 图片是盗的,进程占用是真实的。 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 此时,挖矿脚本大概率定时在你的crontab里面。 crontab -l ,发现异常定时任务,* * *
kdevtmpfsi & kinsing 挖矿病毒
chizhou52501314的博客
03-03 1626
一直寄希望于暂时不会被攻击,事实证明互联网不会让你失望,网络险恶,“裸奔”慎重,只要你裸着,肯定会有人发现你,保护好自己最重要
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值