linux centos7 解决挖矿病毒kthreaddk 高cpu占用_#crazydone的博客-爱代码爱编程

2022-09-30 分类: 服务器 linux 运维

top查看cpu占用，发现kthreaddk cpu占用爆满，kill -9 pid没用，会自动重启，被植入的定时脚本。

输入crontab -l 发现有一个定时任务，如果没有其他的定时任务，可以crontab -r 直接删除。

但是问题依旧没有解决，一会又kthreaddk重启了。

输入netstat -ntpl查看端口号，发现一个50859端口号没有见过，问题就在这里，定时脚本就是从这个端口植入进来的。

ps -ef |grep 50859 发现一个 /boot/grub2/i386-pc/twq907 目录

先 rm -rf /boot/grub2/i386-pc/twq907

再 kill -9 1653（50859端口的pid）

关闭50859端口

firewall-cmd --remove-port=50859/tcp --zone=public --permanent

firewall-cmd --reload

关键步骤

ls -al ll /proc/pid（kthreaddk ）/exe

rm -rf 上面查到路径

kill -9 pid（kthreaddk ）

crontab -l

crontab -r

立即重启服务器！！！

重启后top查看cpu恢复正常。

本文链接：https://blog.csdn.net/m0_66127371/article/details/127121559

解决挖矿病毒导致的cpu100%-爱代码爱编程

2020-04-07 标签: linux centos ssh cpu分类: 木马

解决挖矿病毒导致的cpu100% 原博地址忘记病毒进程的截图了，解决后也找不到了，就说一下整个过程吧。姑且把对手称之为“病毒”吧。以下是我个人的解决方法，如果大神觉得不妥恳请指正。 1、解决病毒首先top -c 查看某进程cpu使用逼近100%，说明此事不简单，默默记下PID。查看进程的工作路径ll /proc/PI

SSH 登录报错 Permission denied 或 VNC 登录报错 Hint：Caps Lock on-爱代码爱编程

2021-04-15 分类: 服务器 linux centos 解决办法 SELinux

一.SELINUX=enforcing后，用户无法登录服务器的问题（原谅我为啥讲这么长一段废话，因为感觉这情况很普遍，怕好兄弟们遇到挖矿程序不知道该怎么办，也提醒一下记得注意服务器端口别全开、密码也别用弱口令，要想看标题解决办法直接跳下面：解决办法及步骤）首先讲我遇到的：我开启selinux（Security-Enhanced Linux）是为了解

centos7清理完挖矿病毒之后内存仍然占用超高，解决办法-爱代码爱编程

2021-06-01 分类: centos服务器

服务器中挖矿病毒了，c3pool，经过了一顿操作，删除定时任务、清除.ssh、删除各种可执行文件、删除开机启动任务之后，病毒算是消停了，进程里也没有了踪迹，CPU占用也下来了。（具体过程请百度，大同小异）。但是，问题出现了，一顿操作之后重启服务器，在任何服务都未启动的情况下，内存已经65%，通过top看不出任何问题，只能通过free命令看到used的内存

centos7挖矿病毒(xmrig,javs)清理-爱代码爱编程

2021-07-26 分类: 云服务器

1. 查看计划任务 ls /var/spool/cron 删除异常任务其配置项。如果当前系统之前并未配置过计划任务，可以直接删除计划脚本目录即可： rm -rf /var/spool/cron/* 2. 查看密钥认证文件删除木马创建的密钥认证文件，如果当前系统之前并未配置过密钥认证，可以直接清空认证存放目录： rm -rf /root/.ssh/*

Linux服务器被植入kthreaddk挖矿程序后处理方案-爱代码爱编程

2021-09-19 分类: linux redis 问题集中营

Linux被植入kthreaddk挖矿程序后处理方案早上起来，收到阿里云的一条短信，说我的服务器被植入了挖矿程序起初还抱着怀疑的状态，毕竟我的服务器配置很低，用这种服务器挖矿能有什么收益，虽然心里不相信，但身体还是挺诚实，默默打开阿里云后台控制，安全告警直接99+ 我直呼好家伙，我尝试者阿里官方的病毒处理，发现竟然要钱，我丢，还不便宜，留下了穷人

记一次centos中挖矿病毒处理经过-爱代码爱编程

2021-10-08 分类: 服务器挖矿病毒大数据项目管理 centos

环境：centos7.6 挖矿进程：rabiit 1、先关闭无用对外端口（例如redis端口，mysql端口等），限制可以ssh登录的ip地址，可以用last查看近期远程登录的用户，确认是否存在可疑IP或者用户 2、查看定时任务情况（这个可以查看/var/log/cron文件，是否存在可疑定时任务执行日志），查看可以定时任务的启动位置，删除可疑

服务器中了挖矿病毒的检测及删除方法-爱代码爱编程

2021-12-13 分类: Tools 挖矿病毒挖矿病毒删除挖矿病毒检测挖矿病毒

最近一段时间，公司内网的linux服务器无故CPU占用很高，导致系统缓慢，严重影响研发部的正常工作。经排查是部分linux服务器中了挖矿病毒，该病毒占满cpu进行挖矿，导致系统缓慢。现将清除挖矿病毒的步骤梳理如下： 1. 检测服务器是否有挖矿病毒使用top命令查看进程及占用cpu百分比，如果该进程名称为随机字符串，且cpu占用非常高，则可能感

【Linux挖矿病毒】进程名Kthreaddk, 执行文件名qwieot处理方法-爱代码爱编程

2021-12-25 分类: 服务器 linux 运维

项目场景： Linux服务器中挖矿病毒输入htop，看到cpu使用率达到百分之百。挖矿进程名：Kthreaddk 挖矿文件名：qwieot 问题描述：在我快乐地用Linux服务器的时候，突然感觉命令行敲得很卡。输入htop查看原因，发现是cpu使用率达到100，被挖矿程序给占领了。首先的操作是尝试Kill 掉挖矿进程，执行kill -9 P

阿里云挖矿清理粗暴解决-爱代码爱编程

2021-12-31 分类: 云计算运维阿里云

阿里云报警挖矿 kthread.exe top 查找发现kthread 这个程序； kill -9 PID 后换了还来；crontab -l 发现结尾【ds4lpr】这类似的字符；单独删了不管用，一会儿还来；reboot 后还在；临时解决方法：执行以下killall -9 betvqi || killall -9 kthreaddk || rm

挖矿病毒分析（centos7）-爱代码爱编程

2022-04-13 分类: 安全服务器 linux ssh centos 运维

因为我在工作的时候被各种挖矿病毒搞过几次，所以在这里整理下我遇到的病毒以及大神们的解决方案。服务器中挖矿病毒后，最基本的一个特征就是CPU使用率瞬间飙升，此时可以通过top命令进行查看，确认是否有异常进程，当然有一些挖矿病毒稍微高级一些，比如pamdicks，它的进程是隐藏的，通过unhide命令或者使用sysdig命令可以查看。挖矿病毒的特点

linux服务器挖矿木马解决办法_取个昵称真难呀的博客-爱代码爱编程

2022-07-07 分类: 工具服务器 linux 运维

参考博客 Linux服务器挖矿木马解决办法 - 知乎我的机器也出现了奇怪进程，占用高cpu，网卡流的问题。导致公司网管对我的ip进行了限制。找了很多博客。解决办法都不一样。最后按照这个博客操作一通，感觉解决了问题。我的环境实际和博客中的显示内容不一样。处理的步骤大概就这些 linux 木马多种多样。一种方法不一定能解决所有问题。尝试吧

centos系统清理挖矿病毒kthreaddk-爱代码爱编程

2022-05-15 分类: JavaWeb 服务器 linux centos

服务器系统是centos, cpu使用超100%，找到占用cpu的进程kthreaddk，网上一查原来是挖矿病毒。分析解决：找到kthreaddk进程号，kill -9 xxx , 杀掉后马上又重启，杀不死，猜想是有定时任务，于是执行crontab -e，查看定时任务，果然存在，赶紧删掉，wq 保存，然后再次 kill -9 xxx杀掉；

针对挖矿病毒的简易三板斧-爱代码爱编程

2022-09-30 分类: linux 网络安全运维 web安全系统安全安全架构

一. 简介本文只基础说明遇到挖矿病毒的简单快速的处理思路，现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候，一定要尽快交予专业安全人士处理，减少损失。二. 实现过程（研究内容）以linux系统为例，对中毒主机进行断网隔离后，查找挖矿病毒的基本操作： 1寻找进程，使用命令：Top 2删除进程，使用命令：kill -i PID 3删除文