Hadoop漏洞被传挖矿病毒（/tmp/kdevtmpfsi kinsing）

大数据服务器，被病毒挖矿。

大数据人说服务器升级了也扩展slave了还是卡，叫我帮忙看一下。

有幸帮忙解决，记录一下这个东西。

top查看资源

 发现异常程序，copy网上搜一下，发现是挖矿病毒。

寻找病毒：

1.查看文件位置systemctl status PID （或者ls -al /proc/PID）

 2.查看定时任务，异常的都禁止

我这里没有发现异常的定时任务

3.查看接口

 发现31458端口的挖矿病毒。

4.查看文件地址 ls -alt

 通过文件属主可以看到病毒是通过yarn用户运行，此用户为Hadoop程序创建。

这次将病毒文件压缩到本地，看看里面有什么。

现在寻找完了，安装网上的教程，结束这挖矿的一生。

解决病毒

建议按照此顺序，且必须要快。。。

1.删除或注释定时任务。

2.通过netstat -nplt 查看病毒占用了端口，kill -9 PID 。

3.使用top命令，找到病毒PID再 kill -9 PID 。如果病毒寄生又或是不敢kill，那就systemctl status PID 。找到病毒文件前面的PID，再删除。

4.删除病毒所在文件夹，建议将所有yarn属主文件夹检查一遍。

5.最后通碟，安装lsof，使用lsof  | grep 病毒名。将寄生在其他服务上的病毒找出杀掉。

招大数据运维招了大半年了也没人来，纯粹是给我找事，服务器端口全开，密码直接写明文。

我怕了，赶紧搞完拜拜。

标签：tmp,kinsing,查看,文件,PID,kill,挖矿,病毒
来源： https://blog.csdn.net/weixin_42236986/article/details/122059361