kthreaddi 挖矿病毒处理全过程记录

最新推荐文章于 2025-02-17 14:14:47 发布
最新推荐文章于 2025-02-17 14:14:47 发布
阅读量2.8k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_24535757/article/details/115617881
版权
本文探讨了服务器被渗透的常见途径,包括通过openVPN、jenkins漏洞和redis未授权访问。提到病毒通过这些途径传播,并提供了如检查定时任务、查看进程详细链接以及临时关闭对外端口等应急措施,以防止服务器长时间高负荷运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、问题发现

首先收到阿里云的相关提醒
在这里插入图片描述
服务器上使用top命令进行定位
在这里插入图片描述
阿里云控制台cpu满负荷运行
在这里插入图片描述
查看定时任务
crontab -l # 表示列出所有的定时任务
crontab -r # 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除,执行crontab -l后会提示用户:“no crontab for admin”
在这里插入图片描述
查看进程详细执行链接
在这里插入图片描述
避免服务器长时间高负荷运行,可以先在安全组中将所有对外端口封掉
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、内容分析

传播
很多小伙伴会问,我的物理机放在机房与外网隔离是怎么被渗透的呢?我总结了以下几个我遇到的攻击途径,希望大家给予补充。

openVPN:因为物理机与外网隔离,疫情期间好多同事会选择在家办公,通过vpn来连接内网机器,在以往的记忆当中,openVPN从来没有出现过类似的问题,然而最近一次中病毒的途径就是vpn
jenkins:CICD是目前公司会选择的自动化部署架构,因此jenkins的使用必不可少,最近发现jenkins有漏洞导致挖矿病毒通过构建过程和弱密码方式传播病毒
redis:这种方式大家应该遇到过多次,挖矿病毒会根据扫描6379端口以及跳过密码方式传播病毒

smile灬coder
关注
处理服务器恶意程序 kthreaddi挖矿
小啊宇的博客
04-12 5472
再次经历了服务器中病毒,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问web界面确实看不到nexus页面 登录服务器之后查看并没有nexus得端口存在,尝试进行启动nexus 一开始都是后台运行 ./nexus start 并看不到报错 只知道运行一会然后就没了 然后操作前台运行 ./nexus run 看到了运行到中间得时候 程序就突然被kill了 这个时候我直接就
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1289
CentOS处理挖矿病毒 - kthreaddk
自有服务器(2台)被 kthreaddk木马挖矿解决过程(实操)不重启服务器
wscwsc58888的专栏
12-12 1345
自有服务器被 kthreaddk木马挖矿解决过程(实操)不重启服务器
【2025版】最新手把手病毒分析 挖矿病毒处置总结,从零基础到精通,收藏这篇就够了!
最新发布
wananxuexihu的博客
02-17 1559
我们是_
记服务器被入侵挖矿病毒kthreaddi处理解决过程思路
lampol
04-01 1万+
今天突然收到很多阿里云发来的短信,然后去看看网站打不开了 cpu直接干到了90%,然后top一下看看 看到 kthreaddi 就大体明白了,前几天也有一个阿里云机器,也是有这个进程 但是当时服务器 还有一天就过期 也没有用,然后就没管。但是今天这个必须要管了。 首先第一步 kill一下进程探探路,发现并没有什么卵用,kill掉后马上又会重启,当然了他们也没有那么傻,好不容易能够入侵,怎么可能那么容易解决。 先去找找这个东西[kthreaddi],是干什么的? ...
[kthreaddi]挖矿病毒处理,终于解决了!
热门推荐
weixin_41599103的博客
04-02 1万+
云服务器被黑了,kthreaddi这货导致的。 kill后会自动重启。 定时器查看,有定时任务,关闭定时任务,还是会出现新的,每次都是不同的目录。 找到其中一个文件,搞了很长时间才知道是一个elf文件还用upx3.96加了壳。去壳后,从3.91M变成10.23M. 使用strings命令导出到txt文件,惊喜来了,终于找到kthreaddi程序名。文件里的有点看不懂,有大神知道怎么弄吗?(文件下载)(下载不了的话可以评论区留下邮箱,) ...
Ubuntu18.04 下kthreaddi病毒处理记录
我叫小麻的专栏
07-15 693
1、初步检查:由于数据库postgres账户通过默认端口号被破解然后启动了病毒 2、第一次处理 postgres账户下的定时器及定时器对应的文件清除 查找进程对应文件的位置的指令 :sudo ls -l /proc/进程号(PID)/exe 3、第二次处理 首先进程处理 a、监控kthreaddi程序,一旦启动就删除 b、期间发现一直重复出现 4、第三次处理 怀疑一直有一个程序启动kthreaddi程序, 通过top | grep postgres指令发现一个可疑的vz...
Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议_阿里云 kthreaddk(1)
m0_60707708的博客
05-10 763
最全的Linux教程,Linux从入门到精通第一份《Linux从入门到精通》466页内容简介====本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。
【Linux挖矿病毒】进程名Kthreaddk, 执行文件名qwieot处理方法
qq_48081868的博客
12-25 2606
项目场景: Linux服务器中挖矿病毒 输入htop,看到cpu使用率达到百分之百。 挖矿进程名:Kthreaddk 挖矿文件名:qwieot 问题描述: 在我快乐地用Linux服务器的时候,突然感觉命令行敲得很卡。输入htop查看原因,发现是cpu使用率达到100,被挖矿程序给占领了。 首先的操作是尝试Kill 掉挖矿进程 ,执行kill -9 PID,但是发现程序会自动重启,很快cpu又满了。 第二,我们可能知道是因为病毒程序设置了 定时任务,执行 #查看定时任务 crontab -l 发现确实系统设
记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU飙高处理
Mr_chenchen的博客
03-01 2948
kthreaddk和rcu_bj进程,cpu飙高 占用一般cpu或者50-70%
confluence中kthreaddk挖矿病毒处理
weixin_44024436的博客
09-13 298
confluence中kthreaddk挖矿病毒处理
kthreaddk挖矿病毒处理
chenxiao17301的博客
08-08 744
kthreaddi
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1863
没成功,只是记录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
weixin_51906455的博客
01-31 378
记录一次阿里云服务器挖矿木马 [kthreaddk] 处理记录
kthreaddk 挖矿病毒的解决
zylfarzero的博客
07-21 1795
kthreaddk
kthreaddk病毒查杀记录
Cookie_1030的专栏
12-15 2080
今日在zabbix上查看到某台服务器的CPU使用率过高(几乎100%)。进入服务器top查看到一个异常的进程kthreaddk。 第一步:kill掉对应pid之后还会继续出现,意识到这是病毒文件,会一直不停的产生。 第二步:ll /proc/pid/exe 查看具体的文件地址,可以直接删除。但发现该文件会自动删除,并再次生成其他文件在另外的目录下,如此不停循环。 第三步:关掉对外的无用端口,看到机器上开了很多的端口对外,但其实本身意义不大,直接在后台对外关闭。 第四步:查看到该进程的管理用户是g..
服务器被挖矿,有command为【kthreaddi】的进程跑满cpu,详细解决步骤
LifeOneOnly的博客
06-02 978
1.使用top命令看到有command为【kthreaddi】的进程,例如12236 2.使用netstat -ltnp命令监听到非法监听的进程,识别方法是xiang'mu
阿里云CentOS7 %Cpu达到100us,kthreaddi进程处理(已解决)
不爱吃鱼的猫丶的博客
05-24 2347
突然被阿里云短信轰炸,说我服务器因攻击被限制访问部分ip及端口??? 登上ECS控制台,看到CPU使用率100%???? top查看进程发现根本没有进程使用cpu。。。后来转到htop命令才可以看到kthreaddi这货,估计是被挖矿了。 htop命令,Linux系统默认不存在htop工具,可以通过如下命令进行安装。 yum install htop htop的快捷键功能列表如下,比较有用的F5、F6、F9 **功能键 ** 对应功能 说明 F1 Invoke htop Help 查看
Linux服务器被植入kthreaddk挖矿程序后处理方案
猿谋人、
03-30 4943
今天早上一过来上班就收到客户反馈,小程序无法上传图片了,经过日志排查发现服务器tmp文件目录被删了,导致上传失败异常。同时我发现服务器CPU爆满,查看进程就发现不对劲,似乎有问题。 查询了一下占用进程名,发现是个挖矿木马。 使用top命令,查看内存消耗。 我发现kill了过一段时间又会重新启动,删除定时任务也无法解决。 最后为了保证服务器的可用先,我直接停止了定时任务的使用。 crontab -r 再kill了进程,服务器不堵塞恢复正常使用了。然后慢慢清理木马! ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值