首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Linux【问题记录 03】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议

Linux【问题记录 03】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议

原创
作者头像
yuanzhengme
修改于 2025-06-06 06:37:40
修改于 2025-06-06 06:37:40
2720
举报
文章被收录于专栏:Linux相关Linux相关

1. 问题说明

有一段时间没有登录云服务器了,心里想着看看服务器有没有被木马占领,好巧不巧,阿里云和腾讯云都被占领了,更巧的是,都是 kthreaddk 进程,首先想到的是百度一下看看有没有解决办法,网上似乎只有 kthreaddi 相关的说明而且无法解决问题,之前处理过 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒所以有了一些思路。

2. 病毒处理

2.1 改密重启服务

我首先干的事是: 修改密码并重启两台服务器。有些病毒是暴力破解服务器密码后将木马程序部署到服务器上的,而且有的木马程序是放在 /tmp 文件夹下的,重启会被清除。

阿里云重启前,cpu使用率 92.7% ,我直接在控制台改密重启所以没有截取到 kthreaddk 的进程信息。

阿里云重启后,cup使用率 0.3%,世界顿时清净了。

不知道干啥的定时任务被清除后也未再次出现:

阿里云的 kthreaddk 处理完成。

2.2 查删定时任务

腾讯云的就没这么幸运了,改密重启无效,kill 掉 kthreaddk 进程后立马重新启动了。

应该是有定时任务:

代码语言:bash
AI代码解释
复制
# 查看定时任务发现不是自己添加的然后删除
crontab -l
* * * * * /etc/NetworkManager/dnsmasq-shared.d/ix2qjo
crontab -r
# 再次查看又出来了
crontab -l
* * * * * /etc/ix2qjo

# 试图删除执行的文件
rm /etc/ix2qjo
rm: cannot remove ‘/etc/ix2qjo’: No such file or directory
rm /etc/NetworkManager/dnsmasq-shared.d/ix2qjo
rm: cannot remove ‘/etc/NetworkManager/dnsmasq-shared.d/ix2qjo’: No such file or directory

# 再再再次删除定时任务后查看
crontab -r
crontab -l
* * * * * /data/ix2qjo
crontab -r
crontab -l
* * * * * /ix2qjo
crontab -r
crontab -l
* * * * * /etc/NetworkManager/dispatcher.d/pre-up.d/ix2qjo

执行查找删除命令:

代码语言:bash
AI代码解释
复制
rm -rf $(find / -name “ix2qjo”)

此时,我打开了另一个命令行窗口,使用 top 命令发现 find 命令根本执行不了,cpu 被 kthreaddk 和 xcxham 两个进程霸占了,所以我又打开了第三个命令行窗口,不断 kill 掉 kthreaddk 和 xcxham 两个进程,随后在最初的窗口看到 rm -rf $(find / -name “ix2qjo”) 命令执行完成。

执行完成后又使用 crontab -l 查看了一下定时任务,心中一凉,这次不仅换地方还换名称了?使用 crontab -l 删除后,没有再次出现定时任务。

2.3 处理过程分析

猜想,腾讯云服务器上的定时任务被删除后,可能是由于 kthreaddk 或 xcxham 进程还在执行,会重新添加定时任务,定时任务是重启服务的入口,我在其他窗口查杀 kthreaddk 和 xcxham 两个进程同时又在执行 rm -rf $(find / -name “ix2qjo”) 删除其启动文件,最终阻断了病毒的复制和执行。

3. 云服务器使用建议

  • 不定时修改服务器密码(密码强度越高越好)
  • 不要随便开放端口(使用安全组配置开放哪些端口、开放给哪些IP地址)
  • 一些组件不建议使用默认端口(不少攻击都是通过80、3306、8080等进行攻击的)

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
Linux【问题记录 02】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
登录云服务器查看了一下top,发现 kdevtmpfsi 的进程 cup 占用快100%了,腾讯云官方也有相关的 处理方法 腾讯手动清除H2Miner的【2 条建议如下】:
yuanzhengme
2025/06/06
2090
记一次腾讯的云服务器被植入挖矿程序的历程
#最近写了一个小程序,在购买的乞丐版腾讯云服务器上跑起来了tomcat、redis、mysql… #怪事就这样开始了… #先是redis莫名其妙被杀掉… #接下来tomcat也莫名其妙的被杀掉… #redis怎么启动不出10min,他就悄无声息的没了…很神奇,日志也没有被杀掉的记录… #查看oom killer的日志也没有…难道累了自刀了?显然不可能… #我又寻思难道是java里设置的最小空闲连接数量问题?(此时已经进入无脑的瞎蒙状态)显然怎么改依然无济于事…Orz… #凌晨了,此时超级安静的环境下,一股力量让我敲下了
悟空宇
2024/03/11
5520
记一次腾讯的云服务器被植入挖矿程序的历程
kworkerds 挖矿木马简单分析及清理
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。
叨叨软件测试
2020/04/14
1.6K0
Linux 遭入侵,挖矿进程被隐藏排查记录
今天来给大家分享下这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。
程序员同行者
2019/03/20
8.7K0
Linux 遭入侵,挖矿进程被隐藏排查记录
腾讯云-服务违规封禁提醒解决
博主在因为获取知识的需求,开通腾讯云-轻量云服务器,在日常使用中没有什么问题,但是最近一直频繁收到邮件提醒,之前也没有想着去解决这个问题,今天又收到,就来解决了一下相关问题。
何其不顾四月天
2023/03/10
5K0
记一次Linux挖矿病毒的清除
起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。
xuing
2019/10/19
11.1K2
没想到竟是因为它!让我的服务器变成了别人的挖矿工具
可怜我那 1 核 2 G 的服务器,又弱又小,却还免除不了被拉去当矿工的命运,实在是惨啊惨。
烟雨星空
2020/07/20
1.4K0
没想到竟是因为它!让我的服务器变成了别人的挖矿工具
kdevtmpfsi病毒进程(挖矿)导致CPU过高
2. 此病毒一般会又定时任务脚本。使用crontab -l 查看定时任务编辑并删除该任务(标红的一行)。
硅谷子
2020/11/24
2.5K0
kdevtmpfsi病毒进程(挖矿)导致CPU过高
挖矿病毒处理记录「建议收藏」
看看是否登录了我的帐号,我在这两个文件中没有发现我不认识的IP,于是我就放过了这两个文件。
全栈程序员站长
2022/09/06
5860
挖矿病毒处理记录「建议收藏」
Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析
1、CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用。
追马
2020/07/06
3.6K0
Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析
挖矿病毒 kdevtmpfsi 处理--实操
服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。
OwenZhang
2022/01/05
3K2
挖矿病毒 kdevtmpfsi 处理--实操
Linux 中挖矿病毒处理过程
进程占CPU 700%,进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。最终发现是一个叫systemd或trump的病毒,是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币。
全栈程序员站长
2022/08/30
2.6K0
从一段挖矿病毒代码看Linux命令的实际应用
最近做易生信培训时新购了一块阿里云,用于演示分析流程搭建和配置。短期使用,上面没有数据,也没做什么防范,结果不曾想,被挖矿病毒盯上了,给了一个近距离接触病毒的机会。
生信宝典
2019/07/12
6.9K1
从一段挖矿病毒代码看Linux命令的实际应用
记一次云服务器中招排查的过程
相信有很多人和我一样,花钱养着一个性能尚可的云服务器,但是却啥都没有部署,总想着什么时候能够大展宏图,部署个网站或者 API 啥的。但是理想很丰满,现实就太骨感,期待的网站和 API 没有到来,来的却是无情的挖矿程序!
周萝卜
2020/10/30
7210
记一次云服务器中招排查的过程
挖矿木马自助清理手册
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。整体的攻击流程大致如下图所示:
purnus
2021/06/12
54.8K24
挖矿木马自助清理手册
记一次服务器被当肉鸡挖矿的经历
看样子像是服务器被挂马了,首先应该检查服务器是否有可疑的定时任务。使用crontab -l命令来查看当前的服务器的定时任务。经检查后发现并无异常,只能看下这个进程的具体信息了。
程序员小猿
2021/01/19
4K0
记一次服务器被当肉鸡挖矿的经历
从挖矿木马看后渗透维权
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
安恒网络空间安全讲武堂
2019/10/16
2.5K0
从挖矿木马看后渗透维权
由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程
最后经过百度发现newinit.sh是一种挖矿脚本,是通过6379端口接入走后门被注入进来的,说到6379大家肯定很熟悉,没错这个就是Redis的默认端口,庆幸的是还好这个木马不是很深入,如果入侵的黑客是大神直接把木马深入到内核那这得重装系统了,经过这个事件以后我奉劝大家2个事情
全栈程序员站长
2022/09/14
2.1K0
由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程
Linux被kdevtmpfsi 挖矿病毒入侵[通俗易懂]
先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。使用netstat -antp命令查看端口使用情况,又出现了kdevtmpfsi如图三所示
全栈程序员站长
2022/09/02
3.6K0
Linux被kdevtmpfsi 挖矿病毒入侵[通俗易懂]
Confluence服务器挖矿木马处理报告(CVE-2021-26084)
IDS日志巡检中发现一条连接矿池服务器的日志,按照以往的经验,看来又有一台服务器沦为矿机了。IDS日志如下:
FB客服
2021/10/11
1.4K0
推荐阅读
相关推荐
Linux【问题记录 02】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档