挖矿病毒 kdevtmpfsi 处理--实操

最新推荐文章于 2025-03-18 20:05:48 发布
最新推荐文章于 2025-03-18 20:05:48 发布
阅读量133 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 服务器安全
原文链接:https://cloud.tencent.com/developer/article/1929179

症状表现
服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。

image.png
image.png
排查方法
首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命令查看,见下图。

image.png
image.png
PS:通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。

第二步:根据上面结果知道 kdevtmpfsi 进程号是 10393,使用 systemctl status 10393 发现 kdevtmpfsi 有守护进程,见下图。

image.png
image.png
第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi。

事后检查
通过 命令搜索是否还有 kdevtmpfsi 文件
find / -name “kdevtmpfsi”
find / -name “kinsing”
查看 Linux ssh 登陆审计日志。Centos 与 RedHat 审计日志路径为 /var/log/secure,Ubuntu 与 Debian 审计日志路径为 /var/log/auth.log。
检查 crontab 计划任务是否有可疑任务
find / -name kdevtmpfsi
find / -name kinsing
cd /var/spool/cron
查看是否有相关的木马定时任务在执行
有的话删掉再重启下crontab
关闭定时任务
service crond stop
image.png
image.png
后续工作溯源,找到程序漏洞,封禁访问ip,不正常ip。源程序下载。

使用clamav对整个Linux做全盘扫描,确定被感染文件并删除。

查找守护进程文件变种名字。

全部删除

find / -name “kdevtmpfsi” | xargs rm -rf
find / -name “kinsing” | xargs rm -rf
至此杀毒工作基本进入尾声。后面几天观察服务器服务,进程是否异常。

后期防护
启用ssh公钥登陆,禁用密码登陆。
云主机:完善安全策略,入口流量,一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。物理机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。
本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。
公司有能力可以搭建安全扫描服务,定期检查机器上漏洞并修复。
小结:以上例举几点措施,不全。这里只是抛砖引玉的效果,更多的措施需要结合自己业务实际情况,否则就空中楼阁。

之后查看系统的网络连接

netstat -anpt

1

发现仍旧还有可以连接

接下来查看可以连接的文件位置

ps aux | grep 6712

1

发现文件在/tmp/kinsing 在tmp中查看并无此文件,可能只是进程没有关闭而已

使用命令关闭异常进程

kill -9 6712

1

再次查看网络连接,已无问题

补充一个小知识点
image.png
image.png
ps -ef | grep kdevtmpfsi

进程号一直改变的原因

ps -ef | grep xx 显示的进程就是你查寻进程的进程,每次查都会变
找到文件位置然后删除原文件

php_kevlin
关注
清除挖矿病毒的脚本-(shell6)
u010872015的专栏
07-20 384
shell脚本 #/bin/bash killall kdevtmpfsi killall kinsing killall networkservice killall sysupdate killall sysguard rm -rf /var/tmp/kinsing rm -rf /tmp/kdevtmpfsi crontab -u www -r 添加计时器 */1 * * * * /home/shell/xx.sh 备注 用crontab的计时器工具 安装ki...
ubuntu搭建jira破解版导致中病毒kdevtmpfsi处理过程
悬崖上的剁椒鱼头的博客
02-22 281
tmp/kinsing 和 /tmp/kdevtmpfsi 这两个进程可能与已知的恶意软件有关,特别是 kinsing 是一个已知的挖矿木马。可以看到698615和701873这两个就是木马的进程了。没有相关进程和定时任务了,可以会一段时间再检查一下是否生成。
kdevtmpfsi 处理挖矿病毒清除)
Ancoda的博客
04-26 8767
kdevtmpfsi 是一个挖矿病毒,大多数都是 redis 程序侵入,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。普遍比较明显的就是 占用高额的CPU、内存资源,而且受害者还不少。
pg kdevtmpfsi挖矿病毒处理
weixin_46551671的博客
09-13 457
自己用废弃笔记本做了一个本地pg数据库,但是某一天笔记本风扇飞转,对于平时不怎么使用的服务器来说,这是一件很神奇的事情。top一下,好家伙,postgres有一个进程cpu给我感到了300多,进程名字kdevtmpfsi
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
zhoukun915684080的博客
08-24 817
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 949
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式
weixin_42165712的博客
03-11 720
中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。处理方法:1. 查看占用高的进程。# top2. 排序按下1,找到占用高CPU的进程后,Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...
GPU服务器挖矿病毒-查杀-分析-预防
qq_40156289的博客
09-17 3523
1. 确认是挖矿病毒 使用命令nvidia-smi发现GPU被root用户(也可能是普通用户)大量占用,体现形式为:显存占用率不一定为100%,但GPU使用率为100%。 使用命令 top(htop) 发现CPU使用率非常高,将近100%。(注意此处可能看到很多以root用户运行的程序,但大多数可能是系统默认程序。) 使用上述两个命令,可以发现CPU和GPU均被大量占用,此时我们利用nvidia-smi命令查看运行程序的PID进程号,并尝试通过kill的方式结束进程,若发现kill后会重启,并且
挖矿------获取以太坊测试币
最新发布
2401_86523075的博客
03-18 2700
在区块链中,水龙头(Faucet) 是一个可以免费领取测试币的工具,主要用于开发者在测试网(如 Sepolia、Goerli、Mumbai 等)上进行智能合约和 DApp 测试,而不需要花费真正的 ETH 或其他代币。Sepolia 是以太坊的一个 测试网络(Testnet),用于开发和测试智能合约,而不需要花费真正的 ETH。它是目前最推荐的以太坊测试网之一。增强去中心化身份(DID):用户可以通过 GitHub、Twitter、ENS、BrightID 等账户绑定,证明自己的 Web3 信誉。
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系优快云管理员删除即可
[服务器异常] kdevtmpfsi 进程
yyp946的博客
01-14 568
这个进程的启动是通过 redis,那么需要检查 redis 用的 cron,直接查看 /var/spool/cron 目录下的文件。起初的操作就是直接 kill 掉,但是 kill 掉后进程又自动启动,能自动启动应该有一个启动脚本在处理,先处理进程问题。今天突然收到了服务器的报警信息,登录服务器通过 top 检查发现一个不认识的进程占用了大量的 CPU。通过 systemct 找出这个进程相关信息,直接 kill 掉 5906 10237,同时删除文件。清空 redis 文件,完成异常处理
【应急响应】kdevtmpfsi挖矿病毒紧急处置
m0_74272345的博客
12-15 678
师姐刚买的阿里云被种了kdevtmpfsi挖矿木马,贴点聊天记录(哈哈哈哈哈哈哈哈哈哈哈)说实话以前都是看过一些博客、推送,只是知道有挖矿木马这个东西,也没有接触过应急响应,全程是以最近打渗透学到的东西来摸索的第一次真的遇到还挺激动的,处理完发现其实也没太难,就是途中走了很多弯路,但曲折才能进步嘛,所以把弯路也做个记录同时是两条线在做,师姐在找杀毒软件,我在手动处理
kdevtmpfsi挖矿病毒中招与破解
永远sayYES的博客
09-18 3198
一、背景 1. 本人是一名程序员,主要负责后端开发,已经做了10多年程序员了。 2. 本人有一台ECS服务器,在腾讯云上双11买的,2C4G + 5M带宽三年话费1000不到。 3. 平时自己喜欢在上面搭建一些服务玩玩。 二、发现 有一天我在上面安装了hadoop玩,需要创建一个hadoop账号,并且给用户hadoop创建了一个简单的密码hadoop123(我真的是太懒了),同时开放了22端口的ssh服务(HDFS免密登录需要),第二天发现登录ECS机器异常卡顿,敲命令也延迟的厉害。直觉告诉我应该是我电
挖矿病毒清除 kdevtmpfsi
michaeldongd的博客
01-10 536
阿里云公布分报告,链接地址摘取下重要信息来看的话:其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害极大。
挖矿kdevtmpfsi病毒处理
感冒石头的博客
05-14 1100
通过top命令可以看到kdevtmpfsi导致CPU 700%多,导致该病毒只要是通过redis漏洞进来的。1、该病毒还有守护进程,如果光kill掉该病毒,过段时间又起来的。守护进程:kinsing 2、该病毒还有定时任务、如果光杀死kdevtmpfsi和kinsing没有用,定时任务会再度重启这两个进程。解决办法:1、设置redis只对当前服务器或者指定服务器放开。取消掉 bind 0.0.0.0 设置 bind 127.0.0.1 或者加其他ip ,2、crontab -l ----》可以在...
挖矿僵尸网络蠕虫病毒——kdevtmpfsi处理过程及数据库
HackGJN的博客
09-27 790
其中,kdevtmpfsi是一种特别具有挑战性的病毒,它利用系统中的kdevtmpfsi进程进行挖矿活动,并且具有自我复制和传播的能力。隔离和停止传播:为了防止病毒进一步传播和感染其他系统,对受感染的主机进行隔离是必要的。日志和审计:数据库可以记录系统的日志和审计信息,包括病毒活动的时间、位置和影响范围等。系统修复和加固:一旦病毒被清除,需要对受感染的系统进行修复和加固,以防止未来的攻击。通过使用数据库中的数据,网络管理员可以确保系统中的所有组件都是最新的,从而减少病毒入侵的风险。
kdevtmpfsi 挖矿病毒清除
l363130002的专栏
04-14 88
找到矿毒进程ps -aux | grep kinsingps -aux | grep kdevtmpfsi杀死进程:kill -9 PID (杀死两个)删除Linux下的异常定时任务crontab -l //查看定时任务crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除删除文件...
Linux——kdevtmpfsi挖矿)进程解决方法与解决过程
热门推荐
Hern(宋兆恒)
03-23 1万+
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
GitHub 上能挖矿的神仙技巧 - 如何发现优秀开源项目
01-22
### 如何在 GitHub 上找到优秀的开源项目 #### 使用高级搜索功能 GitHub 提供了强大的搜索工具,可以通过多种参数来筛选和查找感兴趣的项目。例如,可以根据编程语言、创建时间、更新频率等条件进行过滤[^1]。 ```python # Python 示例:通过 API 获取特定条件下仓库列表 import requests url = "https://api.github.com/search/repositories" params = { 'q': 'language:javascript created:>2023-01-01', 'sort': 'stars', 'order': 'desc' } response = requests.get(url, params=params) data = response.json() for item in data['items']: print(item['html_url']) ``` #### 关注热门话题和技术趋势 定期浏览 GitHub 的 Trending 页面能够帮助了解当前最流行的技术栈以及新兴的开发模式。这些往往是社区内开发者们共同关注的方向之一[^2]。 #### 加入讨论组与社交网络 积极参与各类技术论坛、Slack 频道或是加入一些专注于分享优质资源的兴趣小组,在这里可以获得一手资讯并与其他爱好者交流心得体验。 #### 利用第三方推荐平台 除了官方渠道外,还有许多专门收集整理高质量项目的网站和服务可供参考。比如 Awesome Lists 就是一个很好的起点,它按主题分类汇总了一系列经过精心挑选出来的优秀库文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值