-
Linux实例被植入kdevtmpfsi挖矿病毒的处理方法
Linux实例被植入kdevtmpfsi挖矿病毒的处理方法
提示:
这是一篇由阿里云ACE开发者(Alibaba Cloud Engineer)贡献,针对特定用户问题发布的文章。文档的内容以原稿呈现,阿里云对于文档内容不做任何形式的承诺。阿里云有权在未经通知的情形下对文档内容做出任何形式的修改。
问题描述
实例中CPU满负载。使用top命令查看内部存在异常进程,发现kdevtmpfsi占用CPU较高,直接使用kill命令结束进程或删除命令文件,依然无效。尝试检查定时任务,禁用cron服务后,依然无效。
问题原因
被植入的除kdevtmpfsi进程外,还存有守护进程,一般进程名为kinsing。
解决方案
阿里云提醒您:
- 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
- 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
- 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
请您参考以下步骤进行操作。
注意:此方式仅为临时处理方案,由于病毒植入场景较多,且出现该情况,很有可能操作系统或应用程序已经存在可被利用的漏洞。建议及时备份数据后,通过初始化的方式彻底清理,避免病毒残留。重新部署业务后,建议及时检查是否存在使用弱密码的情况;操作系统以及应用程序是否存在需要修复的漏洞,及时处理。进程处理或文件处理前,一定要确认已快照备份。
- 使用以下命令检查实例内部是否存在有定时任务,如有定时任务则暂时使用井号(#)注释任务条目,暂时停止
cron服务。crontab -e
- 使用以下命令分别查看两个进程依赖的文件。
ps -aux | grep kdevtmpfsi
ps -aux | grep kinsing - 使用以下命令删除对应命令文件。
rm -rf kdevtmpfsi
rm -rf kinsing - 使用以下命令结束
kdevtmpfsi和kinsing这两个进程。kill -9 [$PID]
说明:[$PID]指的是
kdevtmpfsih和kinsing的进程号。 - 查看CPU负载是否已恢复正常。
适用于
- 云服务器ECS
- 轻量应用服务器
-
249
发布KB
-
656
回答问题
-
12
粉丝数
以上内容是否对您有帮助?
感谢您的打分,是否有意见建议想告诉我们?
感谢您的反馈,反馈我们已经收到
文档反馈
在文档使用中是否遇到以下问题
更多建议
匿名提交