最近莫名其妙服务器所有网站访问都显示522,服务器无响应。重启服务器可解决,但是发现CPU一直处于100%,3核4G内存的服务器平时也就2%左右,几个破站还不至于到100%,于是心头一紧一定是服务器里面藏了什么东西。一查不知道,一查吓一跳,果然有个挖矿病毒kdevtmpfsi作怪,这货真是丧心病狂啊,CPU起码用个60%,多少给机主留点活口,100%太过分了,于是就有了这篇文章,如何排除删除这厮!
先说下服务器情况,用的Cyberpanel面板、Racknerd服务器、3CPU 4GB内存、ubuntu22.04。
01-确认kdevtmpfsi病毒存在
首先,ssh登录到服务器并使用以下命令检查 服务器进程,CPU 占用情况,确认是否有 kdevtmpfsi 进程在运行:
htop
如果发现 kdevtmpfsi 占用大量 CPU,继续下一步。
02-检查定时任务
病毒可能会通过定时任务重新启动,所以我们先干掉自动任务,不然清理完进程或删除文件,又自动下载执行病毒。使用以下命令查看当前用户的定时任务:
crontab -l
如果发现可疑的定时任务,使用以下命令删除它们:
crontab -r
上面的可疑任务定时任务里面有个IP地址,我们把这个IP地址列入防火墙黑名单
执行以下命令:丢弃所有来自 IP 地址 185.122.204.197 的入站数据包,也就是封禁这个 IP 地址,使其无法访问您的服务器
iptables -I INPUT -s 185.122.204.197 -j DROP
03-杀死相关进程
删除掉可以自动化任务,再使用 kill 命令终止 kdevtmpfsi 和其守护进程 kinsing:
ps -ef | grep kdevtmpfsi
kill -9 <kdevtmpfsi的PID>
ps -ef | grep kinsing
kill -9 <kinsing的PID>
04-删除病毒文件
查找并删除 kdevtmpfsi 和 kinsing 文件:
find / -name "*kdevtmpfsi*" -exec rm -f {} \;
find / -name "*kinsing*" -exec rm -f {} \;
通常,这些文件可能位于 /tmp/ 或 /var/tmp/ 目录下。如果用的finalshell,可以直接打开相应文件夹进行删除。
删除之后,也可以在/tmp/里面新建个空白的文件,命名为kdevtmpfsi
到这一步病毒基本上可以被干掉了,建议重启下服务器。
可以发现,CPU负载正常了,也没有kdevtmpfsi进程,都是服务器上正经软件服务的进程。
05-检查系统日志和网络连接
查看系统日志以确认是否有异常登录或活动:
less /var/log/secure | grep 'Accepted'
还可以检查网络连接以识别任何可疑活动:
netstat -anltp
06-加强安全措施
- 更改密码:确保所有用户(尤其是 root 用户)的密码复杂且安全。
- 限制 SSH 登录:只允许特定 IP 地址访问 SSH。
- 禁用不必要的功能:如 PHP 的 exec,system,shell_exec,passthru,eval,popen,putenv,phpinfo 等函数,以减少被攻击。
- 关闭不必要的端口
本文标题:《服务器CPU一直处于100%,原来是挖矿病毒kdevtmpfsi作怪,如何排查删除?》
本文链接:https://freechao.com/7794.html
发布日期:2024年11月05日 22:40:37
更新日期:2024年11月07日 21:22:14
版权声明:除特殊注明,均为作者原创内容,遵守CC-BY-NC 4.0版权协议,转发请保留原文链接!
免责声明:文中如涉及第三方资源,均来自互联网,仅供学习研究,禁止商业使用,如有侵权,联系我们24小时内删除!