首页 > 系统相关 >linux清除恶意程序流程-kdevtmpfsi清除

linux清除恶意程序流程-kdevtmpfsi清除

时间:2022-08-26 17:14:31浏览次数:144  
标签:etc 清除 kdevtmpfsi 恶意程序 var 进程


TOP命令查看发现kdevtmpfsi进程跑满CPU, 处理如下:

 

解决过程

1、清除被新增的用户名和密码
# 找到账户ID和权限组都是0跟root同级别的和不认识的, 删掉保存。
vim /etc/passwd

2、删除免密登录
# 有时免密登录里也被加入了黑客的公钥Key
rm -rf ~/.ssh/*

3、清除定时任务
crontab -l && vim /etc/crontab #查看有没有新增的不明定时任务
cd /etc/cron.d  #这里能查看到所有用户的定时任务, 不明的删掉.
service crond restart
#定时任务还可能存在于这些地方, 检查删掉:
/etc/crontab
/var/spool/cron/
/var/spool/cron/crontabs/

注意:
chattr -isa [文件|目录]  #以上操作可能会提示无法保存或者删除,是因为病毒将文件加了锁, 执行 "chattr -isa [文件|目录]" 可以删除
systemctl status 进程PID  #若无法执行, 手动给权限"chmod 755 /usr/bin/systemctl"

4、删除ld.so.preload文件
rm -rf /etc/ld.so.preload

5、查找和删除恶意程序
systemctl status 进程PID  #检查恶意程序所有进程和守护进程, 一同kill掉
kill -9 进程名
ps -aux|grep kdevtmpfsi  #查看成功kill掉没有
find / -name "*kdevtmpfsi*"  #查找所有kdevtmpfsi带字样的文件
rm -rf /var/lib/systemd/coredump/core.kdevtmpfsi.999.9dc63e6173a34d57a2ebc3fbac71b86e.446380.1660536323000000.lz4  #删掉
# 删一次文件之后再杀一次进程,但是挖矿病毒还会再开进程,我就继续删文件继续杀进程。

6、重启服务器
reboot

7、服务器查看ssh登录历史
cd /var/log
less secure  #输入"/Invalid user"和"?Invalid user"查找

 

标签:etc,清除,kdevtmpfsi,恶意程序,var,进程
From: https://www.cnblogs.com/zhaolongisme/p/16628184.html

相关文章

  • 删除 Preserved Cache\Preserved Cache 无法清除
    删除PreservedCache操作场景当RAID组失效时,可能产生PreservedCache,重新登录CU界面后会出现提示清除PreservedCache会话框。对系统的影响删除PreservedCache数......
  • 清除maven残留下的".lastUpdate"文件
    maven工程中,若存在.lastUpdated文件,表示该文件下载失败并不会再重新下载,所以往往要把这种文件删除才能重新下载;以下是遍历所有本地仓库中存在的lastUpdated文件并删除 ......
  • 清除 thinkphp跟php的 X-Powered-By
    thinkphp清除X-Powered-By:ThinkPHP找到文件,ThinkPHP/Lib/Think/Core/View.class.php。搜索到一下代码屏蔽即可。header('X-Powered-By:ThinkPHP'); PHP清除X-Power......
  • Git之清除历史记录操作
    近期公司需要将之前代码仓库中的提交记录都清理,所以操作一下,记录一下步骤:安全考虑:有时候在提交代码时,不小心提交了敏感数据,如账号密码什么的,这样在历史记录中就可以......
  • 摸鱼有理:大脑一思考就在积累毒素,必须休息才能清除|Cell子刊
    梦晨发自凹非寺量子位公众号QbitAI一努力思考就会精神疲惫,学习工作一天之后只想无脑躺平。最新研究发现,这并不是你一个人的错,而是有着普遍的生理基础:思......