症状表现服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。排查方法首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命令查看,见下图。PS:通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill
原创
2023-04-03 20:37:05
651阅读
废话不多说,直接开始清理 找到矿毒进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 杀死进程: kill -9 PID (杀死两个) 删除Linux下的异常定时任务 crontab -l //查看定时任务 crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除 删除文件 rm -rf kdevtmpfs
转载
2023-04-03 12:51:03
256阅读
检查服务器发现资源被kdevtmpfsi占用,这是挖矿进程,必须清理一下。1. 检查资源占用最高的进程top -H / top -c2. 杀掉进程,删除文件kdevtmpfsi 有守护进程 kinsing,单独kill掉 kdevtmpfsi 无用。查看进程号后再kill,并清理掉文件。一般在 /tmp 及 /var/tmp/下。ps -ef | grep...
原创
2021-08-31 13:49:30
1304阅读
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿。 排查方法 首先:查看 kdevtmpfsi
原创
2022-03-16 15:00:05
1074阅读
找到矿毒进程ps -aux | grep kinsingps -aux | grep kdevtmpfsi杀死进程:kill -9 PID (杀死两个)删除Linux下的异常定时任务crontab -l //查看定时任务crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除删除文件rm -rf kdevtmpfsi rm -rf /var/tmp/kins
原创
2022-04-14 11:58:22
3782阅读
(挖矿病毒清除)kdevtmpfsi 处理
原创
2024-06-15 00:46:54
0阅读
生产机器被植入kdevtmpfsi挖矿程序处理事情经过1,手机钉钉收到报警信息,说阿里云的一台机器负载过高2,根据报警信息我们登录到这台机器上使用uptime命令查机器负载然后这台机器的CPU是8核的,可以判断出来CPU负载确实高了3,这个时候通过命令mpstat查看到底是应为CPU还是磁盘造成的负载高我们可以看到CPU使用率基本上每核都达到了100%,4,紧接着我们使用命令pidstat来查看到
原创
2020-02-21 14:29:20
3273阅读
点赞
kdevtmpfsi和networkmanger是我到目前为止见到过比较温和的病毒了。很难想象 ,在公司的测试环境中 有两个项目分别中了病毒 但基本的表现是一样的。 猜测是有部分挖去中心化虚拟货币的公司是具有这种入侵技术的,这些病毒应该是他们的小demo,一旦给病毒加上内网横向传染、多个后门、修改linux系统命令、来回切换进程pid和进程文件名这种狡猾属性之后不重装系统可能都难搞定中毒症状:服务
此次复现挖矿清除不溯源,只是简单的记一下一、事件背景某天打
原创
2022-11-14 21:47:31
821阅读
问题CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。原因服务器密码被别人知道 防火墙设置问题 ……解决方法1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令:top或ps aux | less2、查看异常链接(有助于发现问题缘由),命令:netstat -natp或netstat -n...
原创
2021-08-06 14:03:31
1541阅读
问题CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。
原创
2022-02-05 10:29:11
2014阅读
author:咔咔wechat:fangkangfk解决方案在网上搜索了一下,就是杀死进程。我是亲测没有用啊!最后执行netstat -anp这个命令在干掉在把tmp的那个文件删除掉我胡汉三又回来了我胡汉三又回来了...
原创
2019-12-26 12:07:45
211阅读
今天做大数据实验,忽然发现CPU使用率,MEMORY使用率突然变得极其不正常,CPU使用率竟然达到了100%。因为解决问题时忘记截图,下面有些图是从网上找的,我会在下面贴出链接。 1、使用top ,找到相关进程 top 2.查找进程相关信息(进程目录,相关联的其它进程),这里的14538是top后查 ...
转载
2021-07-15 21:50:00
1052阅读
2评论
目录一.redis引起kdevtmpfsi1:警告2:查看cup占用3:解决问题1.首先停掉kdevtmpfsi的程序2.删除Linux下的异常定时任务3.结束kdevtmpfsi进程及端口占用4:删除掉kdevtmpfsi的相关文件4:怎么预防处理这个病毒二.docker 引起kdevtmpfsi1:查看病毒原2:查找问题源头 2.1
转载
2024-09-25 13:16:11
165阅读
记录下云服务器kinsing,kdevtmpfsi,kthreaddk等病毒的处理与个人心得至于怎么发现kdevtmpfsi和kthreaddk此处就不赘述了(不知道的也找不到这里来),此文说下怎么排查处理及后续防护。(懒得截图,主要讲思路)一. kdevtmpfsi获取病毒相关信息及守护进程(图就不截了,按照思路走。此处假设kdevtmpfsi的进程id为15365,kinsing的进程id为
转载
2023-12-18 16:11:32
18阅读
云服务器CentOS7.6,只开了一个业务服务端口和SSH的22端口,登录不使用密码采用密钥方式的功能率,依然中了kdevtmpfsi病毒,CPU狂飙100%,致使业务服务不能访问。开始了我与此病毒的几天攻防战!第一天:发现中毒后, 根据网上的方法,ps 查pid,kill -9 pid掉,过了几秒钟,病毒又自动启动了,然后 find / -name kdevtmpfsi,查找
转载
2024-05-06 10:12:40
49阅读
docker容器封装redis时,挖矿病毒kdevtmpfsi的处理方法但是我的服务器不是这样的,当走的第一步top第二步
原创
2023-04-05 11:20:32
174阅读
日常查看服务器状态,发现cpu占用过高 100%。使用top 命令发现 redis 竟然占用了 700% 之多,但是启用的命令是个随机串,显示中招了。于是通过 systemctl status [进程id] 查看所在目录,及父进程,找出了 /tmp/kdevtmpfsi 和 /tmp/kinsing 还有 redis 目录下的一些 ./kinsing**
转载
2019-12-30 17:44:00
147阅读
(1)发现问题:
6月23号周三上午接到同事电话,说一台服务器CPU使用率一直很高,像是中挖矿病毒了,让我帮忙登上去看看,并发给我三张截图:
看完截图,我马上连上服务器查看进程,查看/tmp下并没有kdevtmpfsi这个程序,于是df -hT查看了下挂载情况,发现/tmp被挂载了docker容器的文件系统(忘记截图)。
原创
2021-06-27 22:27:26
3365阅读
0、准备#1、服务器必须都在同一个vpc下 ping内网ip能直接ping通
#2、添加腾讯云的防火墙规则 (同一个vpc下内网之间所有端口互通)
#3、hadoop版本3.1.3 jdk 1.8
#4、一定不要开启云服务器 yarn 端口的防火墙 会被挖矿病毒 kdevtmpfsi 入侵 (或者限制外网ip来源)
#5、服务器的主机名修改成自己的 我的是 hadoop102 hadoop103
