Linux被kdevtmpfsi 挖矿病毒入侵

你的名字 2023-07-21 08:52 10阅读 0赞

### Linux被kdevtmpfsi挖矿病毒入侵 ###

# 一. 错误信息 #

先上阿里云上的报警信息。有个最大的问题是：**top命令查看自己服务器CPU运行情况，会发现kdevtmpfsi的进程，CPU使用率为100%**，第一次删除干净了kdevtmpfsi程序，没曾想几分钟以后，就出现了第二个警告。使用netstat -antp命令查看端口使用情况，又出现了kdevtmpfsi如图三所示

> netstat -antp

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ1MTg2NTQ1_size_16_color_FFFFFF_t_70]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ1MTg2NTQ1_size_16_color_FFFFFF_t_70 1]

![图三][20200106114324947.png]

# 二.解决问题 #

一般出现kdevtmpfsi病毒都会伴有定时任务，就会出现我上面说的处理一次后，又会继续出现，反反复复处理不干净。

## 1.首先停掉kdevtmpfsi的程序 ##

ps aux

找到kdevtmpfsi的进程  
![在这里插入图片描述][2020010611575689.png]  
删除掉与kdevtmpfsi相关的进程

kill -9 20267
    kill -9 20367

## 2.删除Linux下的异常定时任务 ##

（删除指定的定时任务：[https://blog.csdn.net/qq\_26975307/article/details/105288693][https_blog.csdn.net_qq_26975307_article_details_105288693]）

> crontab -l 查看定时任务  
> crontab -r 表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除

![在这里插入图片描述][20200106130324577.png]

## 3.结束kdevtmpfsi进程及端口占用 ##

> netstat -antp

找到kdevtmpfsi端口 我这里是28244 一中第三张图可以看到。不要直接杀掉，因为有守护线程还会重启。

> ps -aux | grep kinsing  
> ps -aux | grep kdevtmpfsi

![在这里插入图片描述][20200106131218148.png]

kill -9 28244
    kill -9 28829

## 4.删除掉kdevtmpfsi的相关文件 ##

cd  /tmp
    ls
    rm -rf kdevtmpfsi 
    rm -rf /var/tmp/kinsing  
    最后自己可以再检查一下是否还有kdevtmpfsi的相关文件，有的话就继续删除
    find / -name kdevtmpfsi
    find / -name kinsing

# 三.怎么预防处理这个病毒 #

最根本的原因是自己的redis 6379配置不当导致的。大家可以参考阿里云的Redis服务安全加固  
[阿里Redis服务安全加固][Redis]

如有错误，还望指正

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ1MTg2NTQ1_size_16_color_FFFFFF_t_70]: /images/20230528/5e658b60e99b425aae2f9331acd8d4f2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ1MTg2NTQ1_size_16_color_FFFFFF_t_70 1]: /images/20230528/df4d3376a94c4ab788e40702f19fe4f6.png
[20200106114324947.png]: /images/20230528/2b068e1d3bef428e983d75163fe7ab91.png
[2020010611575689.png]: /images/20230528/2b7e0de6df4f47dc84571432840c1347.png
[https_blog.csdn.net_qq_26975307_article_details_105288693]: https://blog.csdn.net/qq_26975307/article/details/105288693
[20200106130324577.png]: /images/20230528/6b48a96fecd041369c2238c032a9a2c5.png
[20200106131218148.png]: /images/20230528/a01882657b654c80a375a7971dec490f.png
[Redis]: https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p