Linux被kdevtmpfsi 挖矿病毒入侵

Linux被kdevtmpfsi挖矿病毒入侵

    一. 错误信息
    二.解决问题
        1.首先停掉kdevtmpfsi的程序
        2.删除Linux下的异常定时任务
        3.结束kdevtmpfsi进程及端口占用
        4.删除掉kdevtmpfsi的相关文件
    三.怎么预防处理这个病毒

一. 错误信息

先上阿里云上的报警信息。有个最大的问题是：top命令查看自己服务器CPU运行情况，会发现kdevtmpfsi的进程，CPU使用率为100%，第一次删除干净了kdevtmpfsi程序，没曾想几分钟以后，就出现了第二个警告。使用netstat -antp命令查看端口使用情况，又出现了kdevtmpfsi如图三所示

netstat -antp

 

 

 

 

 

 

 

 

 二.解决问题

一般出现kdevtmpfsi病毒都会伴有定时任务，就会出现我上面说的处理一次后，又会继续出现，反反复复处理不干净。
1.首先停掉kdevtmpfsi的程序
　ps aux
   

   找到kdevtmpfsi的进程
  
　删除掉与kdevtmpfsi相关的进程
　kill -9 20267
　kill -9 20367

2.删除Linux下的异常定时任务
　crontab -l 查看定时任务
　crontab -r 表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除
　如下图所示

　　

3.结束kdevtmpfsi进程及端口占用
　netstat -antp
　找到kdevtmpfsi端口 我这里是28244 一中第三张图可以看到。不要直接杀掉，因为有守护线程还会重启。
　ps -aux | grep kinsing
　ps -aux | grep kdevtmpfsi

 

 

　kill -9 28244
　kill -9 28829
4.删除掉kdevtmpfsi的相关文件
　cd  /tmp
　ls
　rm -rf kdevtmpfsi
　rm -rf /var/tmp/kinsing  
　最后自己可以再检查一下是否还有kdevtmpfsi的相关文件，有的话就继续删除
　find / -name kdevtmpfsi
　find / -name kinsing
三.怎么预防处理这个病毒
最根本的原因是自己的redis 6379配置不当导致的。大家可以参考阿里云的Redis服务安全加固
阿里Redis服务安全加固

 

 

版权声明：本文为CSDN博主「胖罐子胖摔」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/qq_45186545/java/article/details/103853601