win10查看以前连接过
通过原生js处理后台返回
12月25
一. 错误信息
先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图所示
netstat -antp
二.解决方法
一般出现kdevtmpfsi病毒都会伴有定时任务,就会出现我上面说的处理一次后,又会继续出现,反反复复处理不干净。
1.首先停掉kdevtmpfsi的程序
ps aux
找到kdevtmpfsi的进程
删除掉与kdevtmpfsi相关的进程
kill -9 20267
kill -9 20367
2.删除Linux下的异常定时任务
crontab -l 查看定时任务
crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除
如下图所示
3.结束kdevtmpfsi进程及端口占用
netstat -antp
找到kdevtmpfsi端口 我这里是28244 图中可以看到。不要直接杀掉,因为有守护线程还会重启。
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
kill -9 28244
kill -9 28829
4.删除掉kdevtmpfsi的相关文件
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing
最后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing
三.怎么预防处理这个病毒
最根本的原因可能是自己的redis 6379配置不当导致的。大家可以参考阿里云的Redis服务安全加固
当然也可能是弱密码,被强行扫描了,建议定期更换系统密码。
也可以使用下面工具清除
#! /bin/sh
step=1
for (( i = 0; i < 60; i = (i+step) )); do
date >> /data/shell/clear_date_log.txt
KID=$(ps -ef |grep kdevtmpfsi |grep -w 'kdevtmpfsi'|grep -v 'grep'|awk '{print $2}')
if [ $KID];then #
echo "[info]kdevtmpfsiIDΪ:$KID" >> /data/shell/clear_date_log.txt
kill -9 $KID
rm -f /tmp/kdevtmpfsi
fi
sleep $step
done
exit 0
复制上面代码另存为kill_kdevtmpfsi.sh
来源:Heck's Blog
地址:https://www.heckjj.com/post/575/
转载时须以链接形式注明作者和原始出处及本声明,否则将追究法律责任,谢谢配合!
先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图所示
netstat -antp
二.解决方法
一般出现kdevtmpfsi病毒都会伴有定时任务,就会出现我上面说的处理一次后,又会继续出现,反反复复处理不干净。
1.首先停掉kdevtmpfsi的程序
ps aux
找到kdevtmpfsi的进程
删除掉与kdevtmpfsi相关的进程
kill -9 20267
kill -9 20367
2.删除Linux下的异常定时任务
crontab -l 查看定时任务
crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除
如下图所示
3.结束kdevtmpfsi进程及端口占用
netstat -antp
找到kdevtmpfsi端口 我这里是28244 图中可以看到。不要直接杀掉,因为有守护线程还会重启。
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
kill -9 28244
kill -9 28829
4.删除掉kdevtmpfsi的相关文件
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing
最后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing
三.怎么预防处理这个病毒
最根本的原因可能是自己的redis 6379配置不当导致的。大家可以参考阿里云的Redis服务安全加固
当然也可能是弱密码,被强行扫描了,建议定期更换系统密码。
也可以使用下面工具清除
#! /bin/sh
step=1
for (( i = 0; i < 60; i = (i+step) )); do
date >> /data/shell/clear_date_log.txt
KID=$(ps -ef |grep kdevtmpfsi |grep -w 'kdevtmpfsi'|grep -v 'grep'|awk '{print $2}')
if [ $KID];then #
echo "[info]kdevtmpfsiIDΪ:$KID" >> /data/shell/clear_date_log.txt
kill -9 $KID
rm -f /tmp/kdevtmpfsi
fi
sleep $step
done
exit 0
复制上面代码另存为kill_kdevtmpfsi.sh
来源:Heck's Blog
地址:https://www.heckjj.com/post/575/
转载时须以链接形式注明作者和原始出处及本声明,否则将追究法律责任,谢谢配合!
