首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Linux【问题记录 03】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议

Linux【问题记录 03】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议

原创
作者头像
yuanzhengme
修改于 2025-06-06 06:37:40
修改于 2025-06-06 06:37:40
1350
举报
文章被收录于专栏:LinuxLinux

1. 问题说明

有一段时间没有登录云服务器了,心里想着看看服务器有没有被木马占领,好巧不巧,阿里云和腾讯云都被占领了,更巧的是,都是 kthreaddk 进程,首先想到的是百度一下看看有没有解决办法,网上似乎只有 kthreaddi 相关的说明而且无法解决问题,之前处理过 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒所以有了一些思路。

2. 病毒处理

2.1 改密重启服务

我首先干的事是: 修改密码并重启两台服务器。有些病毒是暴力破解服务器密码后将木马程序部署到服务器上的,而且有的木马程序是放在 /tmp 文件夹下的,重启会被清除。

阿里云重启前,cpu使用率 92.7% ,我直接在控制台改密重启所以没有截取到 kthreaddk 的进程信息。

阿里云重启后,cup使用率 0.3%,世界顿时清净了。

不知道干啥的定时任务被清除后也未再次出现:

阿里云的 kthreaddk 处理完成。

2.2 查删定时任务

腾讯云的就没这么幸运了,改密重启无效,kill 掉 kthreaddk 进程后立马重新启动了。

应该是有定时任务:

代码语言:bash
AI代码解释
复制
# 查看定时任务发现不是自己添加的然后删除
crontab -l
* * * * * /etc/NetworkManager/dnsmasq-shared.d/ix2qjo
crontab -r
# 再次查看又出来了
crontab -l
* * * * * /etc/ix2qjo

# 试图删除执行的文件
rm /etc/ix2qjo
rm: cannot remove ‘/etc/ix2qjo’: No such file or directory
rm /etc/NetworkManager/dnsmasq-shared.d/ix2qjo
rm: cannot remove ‘/etc/NetworkManager/dnsmasq-shared.d/ix2qjo’: No such file or directory

# 再再再次删除定时任务后查看
crontab -r
crontab -l
* * * * * /data/ix2qjo
crontab -r
crontab -l
* * * * * /ix2qjo
crontab -r
crontab -l
* * * * * /etc/NetworkManager/dispatcher.d/pre-up.d/ix2qjo

执行查找删除命令:

代码语言:bash
AI代码解释
复制
rm -rf $(find / -name “ix2qjo”)

此时,我打开了另一个命令行窗口,使用 top 命令发现 find 命令根本执行不了,cpu 被 kthreaddk 和 xcxham 两个进程霸占了,所以我又打开了第三个命令行窗口,不断 kill 掉 kthreaddk 和 xcxham 两个进程,随后在最初的窗口看到 rm -rf $(find / -name “ix2qjo”) 命令执行完成。

执行完成后又使用 crontab -l 查看了一下定时任务,心中一凉,这次不仅换地方还换名称了?使用 crontab -l 删除后,没有再次出现定时任务。

2.3 处理过程分析

猜想,腾讯云服务器上的定时任务被删除后,可能是由于 kthreaddk 或 xcxham 进程还在执行,会重新添加定时任务,定时任务是重启服务的入口,我在其他窗口查杀 kthreaddk 和 xcxham 两个进程同时又在执行 rm -rf $(find / -name “ix2qjo”) 删除其启动文件,最终阻断了病毒的复制和执行。

3. 云服务器使用建议

  • 不定时修改服务器密码(密码强度越高越好)
  • 不要随便开放端口(使用安全组配置开放哪些端口、开放给哪些IP地址)
  • 一些组件不建议使用默认端口(不少攻击都是通过80、3306、8080等进行攻击的)

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
Linux【问题记录 02】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
登录云服务器查看了一下top,发现 kdevtmpfsi 的进程 cup 占用快100%了,腾讯云官方也有相关的 处理方法 腾讯手动清除H2Miner的【2 条建议如下】:
yuanzhengme
2025/06/06
1180
记一次腾讯的云服务器被植入挖矿程序的历程
#最近写了一个小程序,在购买的乞丐版腾讯云服务器上跑起来了tomcat、redis、mysql… #怪事就这样开始了… #先是redis莫名其妙被杀掉… #接下来tomcat也莫名其妙的被杀掉… #redis怎么启动不出10min,他就悄无声息的没了…很神奇,日志也没有被杀掉的记录… #查看oom killer的日志也没有…难道累了自刀了?显然不可能… #我又寻思难道是java里设置的最小空闲连接数量问题?(此时已经进入无脑的瞎蒙状态)显然怎么改依然无济于事…Orz… #凌晨了,此时超级安静的环境下,一股力量让我敲下了
悟空宇
2024/03/11
4170
记一次腾讯的云服务器被植入挖矿程序的历程
kworkerds 挖矿木马简单分析及清理
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。
叨叨软件测试
2020/04/14
1.6K0
Linux服务器被植入木马挖矿该怎么处理解决
很多客户网站服务器被入侵,被攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站被篡改,被跳转,首页内容被替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序,以及网站被上传webshell的安全提醒,包括腾讯云提示服务器有木马文件,客户网站被攻击的第一时间,是需要立即处理的,降损失降到最低,让网站恢复正常的访问,由于每个客户找到我们SINE安全都是比较着急的,安全的处理时间也需要尽快的处理,根据我们的处理经验,我们总结了一些服务器被攻击,被黑的排查办法,专门用来检查服务器第一时间的安全问题,看发生在哪里,服务器是否被黑,是否被攻击,那些被篡改等等。
技术分享达人
2019/06/17
5.9K0
Linux服务器被植入木马挖矿该怎么处理解决
记一次服务器被当肉鸡挖矿的经历
看样子像是服务器被挂马了,首先应该检查服务器是否有可疑的定时任务。使用crontab -l命令来查看当前的服务器的定时任务。经检查后发现并无异常,只能看下这个进程的具体信息了。
程序员小猿
2021/01/19
3.9K0
记一次服务器被当肉鸡挖矿的经历
Linux被kdevtmpfsi 挖矿病毒入侵[通俗易懂]
先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图三所示
全栈程序员站长
2022/09/02
3.4K0
Linux被kdevtmpfsi 挖矿病毒入侵[通俗易懂]
应急响应案例:aliyun.one 挖矿木马
特点如下: 1、 crontab 中显示类似上面的任务,并且清理后又会出现。 2、 服务器负载高,CPU使用100%。存在fb972c73a8等数字的进程并且使得CPU100%
何刚
2020/12/07
2K1
应急响应案例:aliyun.one 挖矿木马
没想到竟是因为它!让我的服务器变成了别人的挖矿工具
可怜我那 1 核 2 G 的服务器,又弱又小,却还免除不了被拉去当矿工的命运,实在是惨啊惨。
烟雨星空
2020/07/20
1.2K0
没想到竟是因为它!让我的服务器变成了别人的挖矿工具
从挖矿木马看后渗透维权
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
安恒网络空间安全讲武堂
2019/10/16
2.5K0
从挖矿木马看后渗透维权
挖矿病毒 kdevtmpfsi 处理--实操
服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。
OwenZhang
2022/01/05
2.9K2
挖矿病毒 kdevtmpfsi 处理--实操
由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程
最后经过百度发现newinit.sh是一种挖矿脚本,是通过6379端口接入走后门被注入进来的,说到6379大家肯定很熟悉,没错这个就是Redis的默认端口,庆幸的是还好这个木马不是很深入,如果入侵的黑客是大神直接把木马深入到内核那这得重装系统了,经过这个事件以后我奉劝大家2个事情
全栈程序员站长
2022/09/14
2K0
由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程
记一次云服务器中招排查的过程
相信有很多人和我一样,花钱养着一个性能尚可的云服务器,但是却啥都没有部署,总想着什么时候能够大展宏图,部署个网站或者 API 啥的。但是理想很丰满,现实就太骨感,期待的网站和 API 没有到来,来的却是无情的挖矿程序!
周萝卜
2020/10/30
6940
记一次云服务器中招排查的过程
腾讯云-服务违规封禁提醒解决
博主在因为获取知识的需求,开通腾讯云-轻量云服务器,在日常使用中没有什么问题,但是最近一直频繁收到邮件提醒,之前也没有想着去解决这个问题,今天又收到,就来解决了一下相关问题。
何其不顾四月天
2023/03/10
4.7K0
实战矿马:数据异常牵出的挖矿木马(.systemd-service.sh)
1.单是CVM主机安全控制台无数据显示,大概率是主机安全服务进程YDService被强制停止。
枪哥四海为家
2020/10/27
8K8
实战矿马:数据异常牵出的挖矿木马(.systemd-service.sh)
记一次Linux挖矿病毒的清除
起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。
xuing
2019/10/19
10.8K2
腾讯云服务器优化
大概就是在几个月之前本人租了一台服务器用来搭建自己的博客(原来的博客是在阿里云香港服务器上面,在十一期间被和谐了),于是租用了1核1G内存的云服务器(三年800多元),可是在使用的过程中发现cpu和内存占用有点异常,查了下发现以下问题:
zeekling
2022/06/17
6.5K0
kdevtmpfsi病毒进程(挖矿)导致CPU过高
2. 此病毒一般会又定时任务脚本。使用crontab -l 查看定时任务编辑并删除该任务(标红的一行)。
硅谷子
2020/11/24
2.4K0
kdevtmpfsi病毒进程(挖矿)导致CPU过高
Linux 遭入侵,挖矿进程被隐藏排查记录
今天来给大家分享下这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。
程序员同行者
2019/03/20
8.4K0
Linux 遭入侵,挖矿进程被隐藏排查记录
服务器被植入挖矿木马cpu飙升解决
我以 150+ 的手速立即打开了服务器,看到 Tomcat 挂了,然后顺其自然的重启,启动过程中直接被 killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。
知识与交流
2021/04/02
2.3K0
服务器被植入挖矿木马cpu飙升解决
挖矿病毒处理记录「建议收藏」
看看是否登录了我的帐号,我在这两个文件中没有发现我不认识的IP,于是我就放过了这两个文件。
全栈程序员站长
2022/09/06
5490
挖矿病毒处理记录「建议收藏」
推荐阅读
相关推荐
Linux【问题记录 02】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档