[kthreaddi]挖矿病毒处理,终于解决了!

最新推荐文章于 2025-06-04 11:29:44 发布
最新推荐文章于 2025-06-04 11:29:44 发布
阅读量1.1w 收藏 16
点赞数 7
分类专栏: java 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41599103/article/details/115403332
版权

云服务器被黑了,kthreaddi这货导致的。

kill后会自动重启。

定时器查看,有定时任务,关闭定时任务,还是会出现新的,每次都是不同的目录。

找到其中一个文件,搞了很长时间才知道是一个加了壳elf文件,反编译后60万行,想弄清楚代码逻辑是不太可行的。

准备放弃时更恶心的是来了,定时器产生的elf文件不在自动删除了(火大)。

于是,删文件,还顺带解决了问题。

解决方案:

执行netstat -ltnp,可以看见一个奇怪的进程名在监听52335端口(忘记截图了,端口可能会不一样),先把这个进程kill掉,再执行下面的步骤。

1.  du -b zwmdcg(其中一个文件的名字)获取到文件的大小;

2.  find ./ -size  4099324c -type f -exec rm {} \;;(查找并删除文件,可以先用<find ./ -size  4099324c -type f>查找文件   {} \;是{}+空格+;都是必要的,4099324换成文件实际大小)

3. crontab -l 查看定时任务,如果还有定时任务 crontab -r删除定时任务

4. kill kthreaddi进程。

5. 如果kthreaddi继续重启,反复执行2,3,4即可。

最后把防火墙什么的都检查一下,看后续会不会再被黑吧。

 

处理服务器恶意程序 kthreaddi挖矿
小啊宇的博客
04-12 5479
再次经历了服务器中病毒,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问web界面确实看不到nexus页面 登录服务器之后查看并没有nexus得端口存在,尝试进行启动nexus 一开始都是后台运行 ./nexus start 并看不到报错 只知道运行一会然后就没了 然后操作前台运行 ./nexus run 看到了运行到中间得时候 程序就突然被kill了 这个时候我直接就
处理挖矿木马kthreaddk的过程
t_332741160的专栏
12-07 2818
今天客户的腾讯云服务器上被植入了挖矿程序,相当顽固一直kill不掉,经过1个小时的处理终于将起停掉 有一个持续变动的进程,应该是维持挖矿程序不被杀掉的 在处理挖矿程序前,在腾讯云 服务器中将不必要的对外端口关掉,只开放80、443等对外端口,22、3306等端口需要指定访问IP,这样能最大程度减少入侵 top 查看高负载守护线程(这个进程是变动的,包括定时器也在随时变化) ps -ef|grep kthreaddk kill -9 高负载守护线程 kill -9 kthreaddk
干货满满!教你如何应对挖矿病毒, 从零基础到精通,收藏这篇就够了!
logic1001的博客
04-11 1237
随着虚拟货币的疯狂炒作,网络黑客将挖矿程序伪装成一个正常的文件,通过。
一大早支付宝来短信说你中“奖”了?处理服务器挖矿病毒 - kthreaddi
孙奋斗的博客
07-02 535
处理服务器挖矿病毒 - kthreaddi - 当你服务器出现以下症状,恭喜你中奖了 今天一早打开服务器发现卡的不行,于是使用top命令查看了一番,果然不出所料,服务器被挖矿了,下面带来完整的解决办法! 由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!!! 【 kthreaddi 】是挖矿病毒 不断的写入定时任务 执行操作 先是top命令查占用进程PID 3436直接杀死 但是过一段时间又会自动的建立进程 使用查看
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1872
没成功,只是记录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
自有服务器(2台)被 kthreaddk木马挖矿解决过程(实操)不重启服务器
wscwsc58888的专栏
12-12 1359
自有服务器被 kthreaddk木马挖矿解决过程(实操)不重启服务器
挖矿病毒处理
hg00_11的博客
06-16 834
https://www.cnblogs.com/heian99/p/12865374.html
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1313
CentOS处理挖矿病毒 - kthreaddk
挖矿病毒处理
qq_29415357的博客
05-30 487
挖矿病毒处理命令 查看动态任务状况 top 查看病毒进程 ps -ef |grep kdevtmpfsi ps -ef |grep kinsing 查看异常ip和端口 netstat -natp |grep 查找异常文件 find / -name kdevtmpfsi find / -name kinsing 看看有哪些异常的docker镜像 /var/lib/docker/overlay2/3d08459e1c8ed846432961e87ab0e6f82e17749342696997
kthreaddk挖矿病毒处理
chenxiao17301的博客
08-08 755
kthreaddi
kthreaddi 挖矿病毒处理全过程记录
SmileCoder
06-10 2859
一、问题发现 首先收到阿里云的相关提醒 服务器上使用top命令进行定位 阿里云控制台cpu满负荷运行 查看定时任务 crontab -l # 表示列出所有的定时任务 crontab -r # 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除,执行crontab -l后会提示用户:“no crontab for admin” 查看进程详细执行链接 避免服务器长时间高负荷运行,可以先在安全组中将所有对外端口封掉 二、内容分析 传播 很多小伙伴会问,我的物理机放在机房
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 2015
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒
linuxsys挖矿病毒处理
qq_24442273的博客
03-28 1100
一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。 2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程, 3
挖矿病毒应急处置
2301_77977773的博客
07-22 2299
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
服务器中了名为spreabcd的挖矿病毒处理流程。
最新发布
qq_35031494的博客
06-04 578
今天早上在服务器输入命令的时候,突然发现很卡。 于是看了一下内存,发现竟然被全部占用,然后又看了一下cpu,竟然飙到了200%!!!what fack? ps看了一下有几个相关进程: 于是就按网上的方法进行排查: 1.查看进程相关信息:systemctl status 24705 可以看到与这几个文件相关。 ...
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 5217
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
热门推荐
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 中毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
Karka_的博客
09-08 766
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值