【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入

这篇具有很好参考价值的文章主要介绍了【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

起因

postgreSQL我做错了这几件事情

  1. 开启了全部IP登陆权限
  2. postgreSQL用的是默认用户名和密码
  3. 用户postgres也没有设置密码,直接用su - postgres就能登陆

不知道是什么原理,反正服务器被侵入,并且注入了病毒文件

【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入

1. 基本信息排查

linux服务器被挖矿的解决办法
记一次公网postgresql数据库服务器被入侵为矿机的定位过程
服务器被黑客用来挖矿?怎么办?
挖矿入侵Linux系统排查步骤

使用top定位程序,以及查看程序的脚本

首先使用top命令,发现占用内存最高的程序
【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入

来自ChatGPT的回答
如果你已经确定了某个进程或者命令的 PID,那么可以使用以下命令反向定位是哪条指令对应着该进程或命令:
cat /proc/<PID>/cmdline

发现该命令在/tmp目录下
【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入

检查host是否被篡改

使用cat /etc/hosts,发现host被篡改,删除即可

【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入

检查定时任务

这一部分可以具体参考https://blog.csdn.net/JAVA88866/article/details/124767688

输入crontab -e查看定时任务
注意:我用root账号登陆的时候,执行该指令没有任何东西。但是当我su - postgres的时候再执行,就发现了这个定时任务
【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入
删除定时任务,如果不放心,可以停止定时任务

2. 删除挖矿任务

由于该挖矿任务是个常见任务,因此网上很多教程,我参考的是
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除

1.首先,top 系统进程

2.接着输入命令 systemctl status 12625,查看具体进程
也可以分别用以下两个命令查看进程
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

3.分别kill 掉这两个进程,一定要两个都kill掉,刚开始处理的时候只kill了主进行,没有处理守护进程,导致一会又挖矿机器> 又启动开始工作,cpu 又跑到100%
kill -9 5140 -9是彻底结束这个进程
kill -9 12625

4.删除两个进行的执行文件
rm -rf /tmp/kinsing
rm -r /tmp/kdevtmpfsi
服务器不同,可能路径不同,可以直接用命令查找
find / -name kdevtmpfsi
find / -name kinsing
找到后按照路径直接删除

5.查看kdevtmpfsi文件存在/tmp目录下,这边已将kdevtmpfsi文件权限取消,并结束进程

6.使用lsof查看该进程存在异常IP连接,比如:45.129.2.107,在服务器安全组中将该IP禁用,并重启服务器

7.最后,一定要重置系统上的所有用户密码,检查服务安全组,尤其是远程端口!!!文章来源地址https://www.toymoban.com/news/detail-462982.html

top

systemctl status PID

ps -aux | grep kinsing

ps -aux | grep kdevtmpfsi

kill -9 PID

kill -9 18534

rm -rf kdevtmpfsi

rm -rf /var/tmp/kinsing 这个守护进程的文件一定要干掉,也可以用这个命令

find / -name kdevtmpfsi

find / -name kinsing

到了这里,关于【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Gson 添加数据默认值问题记录

    问题:在用Gson add(key(string类型),value(必须是JsonElement子类))时发现,value 传了 \\\"\\\" 空字符串(非null),默认解析后返回null? 虽说影响不大、但是给后端传数据时、如果后端没有进行null处理 就会抛异常(而且后端懒得睬你、人家就是不愿意改...)0.0!!  1、问题代码

    2024年02月14日
    浏览(50)
  • ArcGIS Serve Windows下用户密码变更导致Server服务无法启动问题

    因未知原因Windows下的Server安装账户密码变更,但是又忘记了密码,导致,Server服务启动失败,错误1069: 在账户管理界面,重置对应的arcgis账户的密码,然后服务面板重新登录。 但是在此问题环境中,账户管理中找不到之前的arcgis账户了,底层环境还是有点问题。试用配置工

    2024年02月11日
    浏览(46)
  • centos密码过期导致navicat无法通过SSH登录阿里云RDS问题

    具体错误提示:2013 - Lost connection to server at \\\"hand hake: reading initial communication packet\\\', system error: 0 解决办法:更新SSH服务器密码 

    2024年02月09日
    浏览(40)
  • PostgreSQL问题记录:column “...“ does not exist

    在PostgreSQL中,不论是在pgAdmin中,还是在命令行控制台里面,在SQL语句中表示属性值的总会遇到ERROR: column “…” does not exist这样的错误,比如下面的语句: 解决方案:将 “txt2txt” 的双引号改成 单引号 就行了。 问题原因:可能是被双引号括起来的,PostgreSQL都会认为是“名

    2024年02月05日
    浏览(109)
  • UE4 内存写坏导致异常崩溃问题记录

    经常出现进程崩溃,崩溃堆栈较为底层 原因基本上都是 read write memory 时触发了异常,盘查后初步怀疑是内存写坏了。 UE 支持各种内存分配器: TBB Ansi Jemalloc Stomp 还有自带的内存分配器: Binned Binned2 Binned3 可以参考文章 UE 中的内存分配器。 其中 Stomp 是引擎提供的排查内存写

    2023年04月21日
    浏览(67)
  • Oracle19c默认用户名system密码不正确不能登录问题解决

    oracle乱码问题一般是 由于oracle字符集设置和操作系统字符集设置不一致 造成的。 查看oracle字符集方式如下: 1.进入sqlplus 命令: 2.以系统管理员身份连接数据库 命令: 3.输入查询语句命令: 查询结果: (1)普通用户: SCOTT (密码:tiger) (2)普通管理员:SYSTEM(密码:

    2024年02月13日
    浏览(47)
  • 记录--解决扫码枪因输入法中文导致的问题

    最近公司项目上遇到了扫码枪因 搜狗/微软/百度/QQ 等输入法在中文状态下,使用扫码枪扫码会丢失字符的问题 这种情况是由于扫码枪的硬件设备,在输入的时候,是 模拟用户键盘的按键 来实现的字符输入的,所以会触发输入法的中文模式,并且也会触发输入法的自动联想。

    2024年02月08日
    浏览(81)
  • 【复盘】记录一次类型不一致导致的Kafka消费异常问题

    业务主要是通过A系统向B系统写入Kafka,然后B系统消费Kafka 将结果写到Kafka中,A进行消费最终结果。 在整个流程中,A写入Kafka会写入一张 record1表记录,然后在A消费最终结果的时候也记录一张record2表。主要改动的话 只是B系统内进行写入数据,但是没有想到用的同一个Map导致

    2024年02月16日
    浏览(38)
  • 【bug记录】-Linux与Windows中的文件换行符不同导致的格式问题

    当你从Windows移动文件到Linux系统时,可能会遇到文件格式问题。这通常涉及到文本文件的换行符(line endings)格式。 在Windows中,换行符是\\\"rn\\\"(Carriage Return + Line Feed) 而在Linux中,换行符是\\\"n\\\"(Line Feed)。 解决这个问题的方法之一是使用工具来转换文本文件的换行符格式。

    2024年02月04日
    浏览(48)
  • MyBatis-Plus主键策略(雪花算法16位长度的整型id,解决默认雪花算法生成19位长度id导致JS精度丢失问题)

    js表达的最大整数2的53次方减1,精度丢失后面几位全是0! 如果内置支持不满足你的需求,可实现 IKeyGenerator 接口来进行扩展. 举个栗子 #方式一:使用配置类 #方式二:通过 MybatisPlusPropertiesCustomizer 自定义 #方式一: XML 配置 #方式二:注解配置 官方示例 官方id generator示例 htt

    2023年04月08日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包