服务器CPU一直处于100%,原来是挖矿病毒kdevtmpfsi作怪,如何排查删除?

最近莫名其妙服务器所有网站访问都显示522,服务器无响应。重启服务器可解决,但是发现CPU一直处于100%,3核4G内存的服务器平时也就2%左右,几个破站还不至于到100%,于是心头一紧一定是服务器里面藏了什么东西。一查不知道,一查吓一跳,果然有个挖矿病毒kdevtmpfsi作怪,这货真是丧心病狂啊,CPU起码用个60%,多少给机主留点活口,100%太过分了,于是就有了这篇文章,如何排除删除这厮!

服务器CPU一直处于100%,原来是挖矿病毒kdevtmpfsi作怪,如何排查删除?01

先说下服务器情况,用的Cyberpanel面板、Racknerd服务器、3CPU 4GB内存、ubuntu22.04。

01-确认kdevtmpfsi病毒存在

首先,ssh登录到服务器并使用以下命令检查 服务器进程,CPU 占用情况,确认是否有 kdevtmpfsi 进程在运行:

如果发现 kdevtmpfsi 占用大量 CPU,继续下一步。

服务器CPU一直处于100%,原来是挖矿病毒kdevtmpfsi作怪,如何排查删除?02

02-检查定时任务

病毒可能会通过定时任务重新启动,所以我们先干掉自动任务,不然清理完进程或删除文件,又自动下载执行病毒。使用以下命令查看当前用户的定时任务:

如果发现可疑的定时任务,使用以下命令删除它们:

上面的可疑任务定时任务里面有个IP地址,我们把这个IP地址列入防火墙黑名单

执行以下命令:丢弃所有来自 IP 地址 185.122.204.197 的入站数据包,也就是封禁这个 IP 地址,使其无法访问您的服务器

03-杀死相关进程

删除掉可以自动化任务,再使用 kill 命令终止 kdevtmpfsi 和其守护进程 kinsing:

04-删除病毒文件

查找并删除 kdevtmpfsi 和 kinsing 文件:

通常,这些文件可能位于 /tmp/ 或 /var/tmp/ 目录下。如果用的finalshell,可以直接打开相应文件夹进行删除。

删除之后,也可以在/tmp/里面新建个空白的文件,命名为kdevtmpfsi

到这一步病毒基本上可以被干掉了,建议重启下服务器。

可以发现,CPU负载正常了,也没有kdevtmpfsi进程,都是服务器上正经软件服务的进程。

服务器CPU一直处于100%,原来是挖矿病毒kdevtmpfsi作怪,如何排查删除?03

05-检查系统日志和网络连接

查看系统日志以确认是否有异常登录或活动:

还可以检查网络连接以识别任何可疑活动:

06-加强安全措施

  • 更改密码:确保所有用户(尤其是 root 用户)的密码复杂且安全。
  • 限制 SSH 登录:只允许特定 IP 地址访问 SSH。
  • 禁用不必要的功能:如 PHP 的 exec,system,shell_exec,passthru,eval,popen,putenv,phpinfo 等函数,以减少被攻击。
  • 关闭不必要的端口
服务器CPU一直处于100%,原来是挖矿病毒kdevtmpfsi作怪,如何排查删除?04
本文作者:自由超
本文标题:《服务器CPU一直处于100%,原来是挖矿病毒kdevtmpfsi作怪,如何排查删除?》
本文链接:https://freechao.com/7794.html
发布日期:2024年11月05日 22:40:37
更新日期:2024年11月07日 21:22:14
版权声明:除特殊注明,均为作者原创内容,遵守CC-BY-NC 4.0版权协议,转发请保留原文链接!
免责声明:文中如涉及第三方资源,均来自互联网,仅供学习研究,禁止商业使用,如有侵权,联系我们24小时内删除!

留下评论

您的邮箱地址不会被公开。 必填项已用 * 标注