Linux被kdevtmpfsi 挖矿病毒入侵

你的名字 2023-07-21 08:52 96阅读 0赞

Linux被kdevtmpfsi挖矿病毒入侵

一. 错误信息

先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图三所示

netstat -antp

在这里插入图片描述

在这里插入图片描述

图三

二.解决问题

一般出现kdevtmpfsi病毒都会伴有定时任务,就会出现我上面说的处理一次后,又会继续出现,反反复复处理不干净。

1.首先停掉kdevtmpfsi的程序

  1. ps aux

找到kdevtmpfsi的进程
在这里插入图片描述
删除掉与kdevtmpfsi相关的进程

  1. kill -9 20267
  2. kill -9 20367

2.删除Linux下的异常定时任务

(删除指定的定时任务:https://blog.csdn.net/qq_26975307/article/details/105288693)

crontab -l 查看定时任务
crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除

在这里插入图片描述

3.结束kdevtmpfsi进程及端口占用

netstat -antp

找到kdevtmpfsi端口 我这里是28244 一中第三张图可以看到。不要直接杀掉,因为有守护线程还会重启。

ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

在这里插入图片描述

  1. kill -9 28244
  2. kill -9 28829

4.删除掉kdevtmpfsi的相关文件

  1. cd  /tmp
  2. ls
  3. rm -rf kdevtmpfsi 
  4. rm -rf /var/tmp/kinsing  
  5. 最后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除
  6. find / -name kdevtmpfsi
  7. find / -name kinsing

三.怎么预防处理这个病毒

最根本的原因是自己的redis 6379配置不当导致的。大家可以参考阿里云的Redis服务安全加固
阿里Redis服务安全加固

如有错误,还望指正

发表评论

表情:
评论列表 (有 0 条评论,96人围观)

还没有评论,来说两句吧...

相关阅读