症状表现
服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。

排查方法
首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。

PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。

第二步:根据上面结果知道 kdevtmpfsi 进程号是 10393,使用 systemctl status 10393 发现 kdevtmpfsi 有守护进程,见下图。

第三步:kill 掉 kdevtmpfsi 守护进程 kill -9 30903 30904,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi。

事后检查
通过 find / -name "*kdevtmpfsi*" 命令搜索是否还有 kdevtmpfsi 文件
查看 Linux ssh 登陆审计日志。Centos 与 RedHat 审计日志路径为 /var/log/secure,Ubuntu 与 Debian 审计日志路径为 /var/log/auth.log
检查 crontab 计划任务是否有可疑任务
后期防护
启用ssh公钥登陆,禁用密码登陆。
云主机:完善安全策略,入口流量,一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。物理机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。
本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。
公司有能力可以搭建安全扫描服务,定期检查机器上漏洞并修复。

Linux 服务器上有挖矿病毒 kdevtmpfsi 处理办法相关推荐

  1. linux服务器被植入挖矿病毒后初步解决方案

    linux服务器被植入挖矿病毒是真让人无语,密码也被暴力破解,还时不时挖矿重启. 只能上网搜索,初步解决方案如下: 一.定位攻击服务器的ip 首先root,然后进~/.cache,使用netstat ...

  2. 被动抓病毒的日子(1)【入侵大佬:198.46.202.146】 一种针对Linux服务器疑似挖矿病毒流入

    2021年3月8号,发现疑似挖矿病毒的流氓程序入侵,对于平常疏于安全防范的公司敲响了一记警钟.现在就详细分析下病毒的运作逻辑,至于它是干嘛的,有兴趣的小伙伴可以去挖掘一下,也许有比较有趣的收获. 目录 ...

  3. Linux服务器清除xmrig挖矿病毒详细教程

    近期遇到很多小伙伴在咨询服务器CPU被占满,排查后发现中了xmrig挖矿病毒,并且通过kill 杀掉进程后,还会自动启动.这是由于只是停止了xmrig挖矿病毒的进,没有彻底删除病毒文件,导致会病毒会自 ...

  4. 服务器中了挖矿病毒的检测及删除方法

    最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...

  5. 服务器中了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)

    最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...

  6. Linux服务器上监控网络带宽的18个常用命令

    本文介绍了一些可以用来监控网络使用情况的Linux命令行工具.这些工具可以监控通过网络接口传输的数据,并测量目前哪些数据所传输的速度.入站流量和出站流量分开来显示. 一些命令可以显示单个进程所使用的带 ...

  7. Linux服务器上zsh和bash的对比

    使用默认指令列模式(bash shell)的管理员可能想仔细看看zshell或是zsh.由于它于bash相似,功能又有所加强,zsh在Linux社区获得了关注. 那么zsh有什么不同之处呢?首先,zs ...

  8. linux服务器上nginx日志访问量统计命令

    linux服务器上nginx日志访问量统计命令 日志文件所在地方: /var/log/nginx/access_iqueendress.com.log /var/log/nginx/access_m. ...

  9. 使用rsync同步linux服务器上的文件到windows上

    需求: 在windows客户端上执行计划任务同步脚本,从linux服务器上同步对应模块下的目录内容到windows客户端的D:\data目录下. 步骤: 1. rsync服务端操作略: (百度一下都有 ...

最新文章

  1. matlab uitree update,elementUI tree 懒加载 更新节点
  2. 获取指定文件夹下的所有文件名
  3. 4.2.3 OS之减少磁盘延迟时间的方法(交替编号、错位命名)
  4. Hibernate环境搭建以及HelloWorld
  5. hibernate_和ORM的关系
  6. 招商局集团内部控制手册pdf_企业内部控制流程手册,全文22模块,内容很全面,可直接打印使用...
  7. 【若依(ruoyi)】获取mainContent的宽高
  8. hibernate-validate
  9. access数据类型百度百科_Day 7 基本数据类型
  10. tomcat小实验helloworld
  11. @JsonFormat Date类型时间 格式化 注解 使用
  12. React Native在Android当中实践(一)——背景介绍
  13. 2016最新版App Store应用审核指南完整版
  14. 机器学习之数据集划分-k折交叉验证法(k-fold cross validation)
  15. 前沿 | 社区问答系统及相关技术
  16. 项目管理所有计算公式
  17. The LINQ expression node type 'ArrayIndex' is not supported in LINQ to Entities.
  18. 年轻不要停止奋斗的脚步
  19. html字体颜色 html中设置字体颜色代码 字体颜色获取
  20. D3.js树图tree 组织机构分布图(基于vue)

热门文章

  1. HTML5期末大作业:艺术品商城网站设计——艺购艺术品商城网页(1页) HTML+CSS+JavaScript 学生DW网页 使用html+css实现一个静态页面(含源码)
  2. 错误0x8007018b,已拒绝访问云文件
  3. monty hall_Monty Python通过免费视频赚钱
  4. Eclipse 项目中有红色感叹号的详细方法
  5. 计算机主板上实时时钟晶振频率为,电脑主板晶振的识别及测量方法介绍
  6. 如何解决宝马汽车外接OBD接口设备触发报警的问题?
  7. java毕业生设计中医药科普网站计算机源码+系统+mysql+调试部署+lw
  8. sm2证书生成(单证书)
  9. android动态壁纸学习
  10. 飓风算法2.0,并不是不让你采集