首页 > TAG信息列表 > kdevtmpfsi
记一次解决被恶意植入挖矿程序kdevtmpfsi的过程
起因 收到一封腾讯云的邮件,内容如下 一开始没在意,以为是腾讯云误判(还是我太年轻),毕竟我也没调用任何别人6379端口 的业务,俺自己的redis端口也改了不是这个,所以有点莫名其妙,就没理。 谁知道当天就出现业务异常卡顿,网络通信存在异常延迟等问题,顺带查看了一下腾讯云自带的免docker镜像中存在kdevtmpfsi挖矿程序
起因,云服务器不断出现,挖矿程序告警。我想我服务器才用了2个月不可能啊,而且本人都比较谨慎,不可能有这种事情啊。百思不得其姐。 我在本机目录下根本找不到这个东西,也杀不死进程,心里想,这得多大的能耐啊。甚至有点小茎仰。 后来实在没办法,半夜重装了机器。第二天一大早过来。卧槽,竟kdevtmpfsi挖矿病毒解决过程
top 开始cpu消耗在百分80左右,有时会达到99,杀掉进程后几分钟又跳出来, 开始的升级阿里云的高级版,一键查杀,cpu瞬间降到20 继续跟踪。。。 大概两个小时后发现,kdevtmpfsi进程会时不时跳出来,一两秒钟后又自动关闭,此时cpu 再百分20到百分40直接上下波动,如图(正常情况下是稳得) 解决Linux 服务器上有挖矿病毒 kdevtmpfsi 如何处理?
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。 PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill处理kdevtmpfsi挖矿病毒
发现CPU直接100% [root@hadoop002 tmp]# systemctl status 25177 ● session-5772.scope - Session 5772 of user root Loaded: loaded (/run/systemd/system/session-5772.scope; static; vendor preset: disabled) Drop-In: /run/systemd/system/session-5772.scope记录kdevtmpfsi挖矿病毒处理记录和方法
病毒名称:kdevtmpfsi 状态:CPU爆满,导致线上服务宕机。 图片是盗的,进程占用是真实的。 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常 ,看