Linux被kdevtmpfsi挖礦病毒入侵
一. 錯誤信息
二.解決問題
1.首先停掉kdevtmpfsi的程序
2.刪除Linux下的異常定時任務
3.結束kdevtmpfsi進程及端口占用
4.刪除掉kdevtmpfsi的相關文件
三.怎么預防處理這個病毒
一. 錯誤信息
先上阿里雲上的報警信息。有個最大的問題是:top命令查看自己服務器CPU運行情況,會發現kdevtmpfsi的進程,CPU使用率為100%,第一次刪除干凈了kdevtmpfsi程序,沒曾想幾分鍾以后,就出現了第二個警告。使用netstat -antp命令查看端口使用情況,又出現了kdevtmpfsi如圖三所示
netstat -antp
二.解決問題
一般出現kdevtmpfsi病毒都會伴有定時任務,就會出現我上面說的處理一次后,又會繼續出現,反反復復處理不干凈。
1.首先停掉kdevtmpfsi的程序
ps aux
找到kdevtmpfsi的進程
刪除掉與kdevtmpfsi相關的進程
kill -9 20267
kill -9 20367
2.刪除Linux下的異常定時任務
crontab -l 查看定時任務
crontab -r 表示刪除用戶的定時任務,當執行此命令后,所有用戶下面的定時任務會被刪除
如下圖所示
3.結束kdevtmpfsi進程及端口占用
netstat -antp
找到kdevtmpfsi端口 我這里是28244 一中第三張圖可以看到。不要直接殺掉,因為有守護線程還會重啟。
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
kill -9 28244
kill -9 28829
4.刪除掉kdevtmpfsi的相關文件
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing
最后自己可以再檢查一下是否還有kdevtmpfsi的相關文件,有的話就繼續刪除
find / -name kdevtmpfsi
find / -name kinsing
三.怎么預防處理這個病毒
最根本的原因是自己的redis 6379配置不當導致的。大家可以參考阿里雲的Redis服務安全加固
阿里Redis服務安全加固
版權聲明:本文為CSDN博主「胖罐子胖摔」的原創文章,遵循 CC 4.0 BY-SA 版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/qq_45186545/java/article/details/103853601