【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入

起因

postgreSQL我做错了这几件事情

  1. 开启了全部IP登陆权限
  2. postgreSQL用的是默认用户名和密码
  3. 用户postgres也没有设置密码,直接用su - postgres就能登陆

不知道是什么原理,反正服务器被侵入,并且注入了病毒文件

在这里插入图片描述

1. 基本信息排查

linux服务器被挖矿的解决办法
记一次公网postgresql数据库服务器被入侵为矿机的定位过程
服务器被黑客用来挖矿?怎么办?
挖矿入侵Linux系统排查步骤

使用top定位程序,以及查看程序的脚本

首先使用top命令,发现占用内存最高的程序
在这里插入图片描述

来自ChatGPT的回答
如果你已经确定了某个进程或者命令的 PID,那么可以使用以下命令反向定位是哪条指令对应着该进程或命令:
cat /proc/<PID>/cmdline

发现该命令在/tmp目录下
在这里插入图片描述

检查host是否被篡改

使用cat /etc/hosts,发现host被篡改,删除即可

在这里插入图片描述

检查定时任务

这一部分可以具体参考https://blog.csdn.net/JAVA88866/article/details/124767688

输入crontab -e查看定时任务
注意:我用root账号登陆的时候,执行该指令没有任何东西。但是当我su - postgres的时候再执行,就发现了这个定时任务
在这里插入图片描述
删除定时任务,如果不放心,可以停止定时任务

2. 删除挖矿任务

由于该挖矿任务是个常见任务,因此网上很多教程,我参考的是
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除

1.首先,top 系统进程

2.接着输入命令 systemctl status 12625,查看具体进程
也可以分别用以下两个命令查看进程
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

3.分别kill 掉这两个进程,一定要两个都kill掉,刚开始处理的时候只kill了主进行,没有处理守护进程,导致一会又挖矿机器> 又启动开始工作,cpu 又跑到100%
kill -9 5140 -9是彻底结束这个进程
kill -9 12625

4.删除两个进行的执行文件
rm -rf /tmp/kinsing
rm -r /tmp/kdevtmpfsi
服务器不同,可能路径不同,可以直接用命令查找
find / -name kdevtmpfsi
find / -name kinsing
找到后按照路径直接删除

5.查看kdevtmpfsi文件存在/tmp目录下,这边已将kdevtmpfsi文件权限取消,并结束进程

6.使用lsof查看该进程存在异常IP连接,比如:45.129.2.107,在服务器安全组中将该IP禁用,并重启服务器

7.最后,一定要重置系统上的所有用户密码,检查服务安全组,尤其是远程端口!!!

topsystemctl status PIDps -aux | grep kinsingps -aux | grep kdevtmpfsikill -9 PIDkill -9 18534rm -rf kdevtmpfsirm -rf /var/tmp/kinsing 这个守护进程的文件一定要干掉,也可以用这个命令find / -name kdevtmpfsifind / -name kinsing

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/39450.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

chatgpt赋能python:Python入侵代码:破坏性与防护

Python入侵代码&#xff1a;破坏性与防护 作为一名有10年Python编程经验的工程师&#xff0c;我深知Python作为一种强大的编程语言所带来的便利与效率&#xff0c;但也正因为如此&#xff0c;Python同样成了地下黑市中最受欢迎的编程语言之一。Python入侵代码借助Python引擎的…

CentOS上PHP源码安装和配置

CentOS上PHP源码安装和配置 此文是在CentOS 7上已经部署了Nginx的基础上进行的 关于CentOS7上安装Nginx&#xff0c;可参考我之前的文章&#xff1a; CentOS上Nginx安装记录 我们现在在这个基础上安装PHP 7。 PHP里面概念挺多的&#xff0c;没想到安装这个PHP需要花那么多时…

服务器遭遇挖矿脚本入侵,歪果仁玩的真花

1、服务器突然卡顿&#xff0c;CPU和内存均占用过高。调查发现一恶意脚本&#xff0c;名为"newinit.sh"&#xff0c;翻开一看&#xff0c;歪果仁真会玩。 2、newinit.sh 源文件 #!/bin/sh ulimit -n 65535 chmod 777 /usr/bin/chattr chmod 777 /bin/chattr chattr …

工业富联:左手工业AI,右手“雾小脑”

来源&#xff1a;先进制造业 摘要&#xff1a;11月14日&#xff0c;第二十届中国国际高新技术成果交易会在深圳会展中心开幕。 11月14日&#xff0c;第二十届中国国际高新技术成果交易会在深圳会展中心开幕。备受瞩目的是&#xff0c;在分论坛“2018第九届中国信息通信论坛”上…

IM即时通讯综合消息系统的架构

如何设计一款高性能、高并发、高可用的im综合消息平台是很多公司发展过程中会碰到且必须要解决的问题。比如一家公司内部的通讯系统、各个互联网平台的客服咨询系统&#xff0c;都是离不开一款好用且维护的方便im综合消息系统。 那么&#xff0c;我们应该怎么样来设计一款三高特…

政企专属的IM即时通讯平台,促进团队安全沟通与协作

近年来&#xff0c;随着信息技术的快速发展&#xff0c;各个行业都在积极探索数字化转型的道路。对于政企组织而言&#xff0c;建立内部专属的统一办公平台已经成为了一种趋势&#xff0c;这种平台不仅可以提升团队的工作效率&#xff0c;还可以促进员工之间的安全沟通与协作&a…

图扑软件数字孪生 SMT 产线,智能工业可视化管理

随着《中国制造2025》的提出&#xff0c;制造业迎来了全新的发展机遇。更多的企业将制造业信息化技术进行广泛的应用&#xff0c;如 MES 系统、数字孪生以及生产管理可视化等技术的研究应用&#xff0c;已经成为社会各界共同关注的热点。 表面贴片技术&#xff08;Surface Mou…

字节、快手、天弘基金等 :量化/算法工程师岗位【社招|校招|实习生】

信润富联数字科技实习生 公司简介&#xff1a; 信润富联成立于2020年7月&#xff0c;是中信、华润、工业富联强强联手&#xff0c;协力打造的工业智能解决方案平台。 团队简介&#xff1a; 核心成员来自美国IMS实验室&#xff08;工业人工智能黄埔军校&#xff09;、香港城市、…

2021亚洲最佳职场中国大陆区企业公布:工业富联、特斯拉等上榜;黑人牙膏将更名为好来 | 美通社头条...

要闻摘要&#xff1a; 2021亚洲最佳职场中国大陆区企业公布&#xff1a;工业富联、特斯拉等上榜。受网络攻击最多行业已从金融保险转变为IT通信。黑人牙膏将更名为好来。"特斯拉劲敌"Rivian选定亚马逊云为首选云供应商。创维推出比手机还薄的电视Q31 Pro。CTI华测检测…

大型电厂IP互联无线对讲通信解决方案

项目背景&#xff1a; 某大型电厂目前只有主办公楼有无线覆盖&#xff0c;厂区内生产机房、下穿隧道以及公路信号覆盖仍存在盲区障碍。随着电厂巡检工作的运作和移动通信设备的增多&#xff0c;指挥中心想要实现整个厂区的呼叫&#xff0c;迫切需要构建一套智能化无线通信解决…

IM即时通讯构建企业协同生态链

在当今互联网信息飞速发展的时代&#xff0c;随着企业对协同办公要求的提高&#xff0c;协同办公的定义提升到了智能化办公的范畴。大多企业都非常重视构建连接用户、员工和合作伙伴的生态平台&#xff0c;利用即时通讯软件解决企业内部的工作沟通、信息传递和知识共享等问题。…

即时通讯软件(企业IM)对企业的作用

随着网络时代的来临&#xff0c;即时通讯软件也开始逐渐在企业中流行起来&#xff0c;甚至很多公司都已经将即时通讯软件作为内部沟通的主要工具&#xff0c;那么这种情况下&#xff0c;即时通讯软件对企业究竟有什么作用呢&#xff1f; 首先&#xff0c;即时通讯软件对于企业内…

容联云以IM+RTC,开启新一代实时互动新视界

随着数字化的发展&#xff0c;无论是即时通讯还是实时互动已经不再单指某种产品与技术形态&#xff0c;TA正在加速与行业的深度融合&#xff0c;激发出新场景与新应用。 如何更好的挖掘IMRTC场景&#xff0c;如何更好的服务理解客户&#xff0c;容联云音视频在助力企业快速转型…

IM即时通讯聊天软件1.0

一、项目简介 一直以来都有一个社交梦&#xff0c;想做一款IM应用&#xff0c;看了很多优秀的开源项目&#xff0c;但是没有合适的。于是利用休息时间自己写了这么一套系统。 项目第一个版本历时2个月&#xff0c;前端使用uniapp&#xff0c;后端使用SpringBoot。 页面设计后期…

#榜样的力量#工业富联富集云防疫 App丨数据猿新冠战“疫”公益策划

“该项目案例由工业富联提交申报&#xff0c;参与数据猿推出的《寻找新冠战“疫”&#xff0c;中国数据智能产业先锋力量》的公益主题策划活动。 大数据产业创新服务媒体 ——聚焦数据 改变商业 疫情就是命令&#xff0c;工业现场也是“战场”。 2020年&#xff0c;一场突如其…

执掌工业富联,归国学霸、东大博士正在代言富士康

文丨智能相对论&#xff08;aixdlun&#xff09; 作者丨陈选滨 河南大水&#xff0c;八方支援。 在捐款破亿的企业名单里&#xff0c;工业富联代表富士康集团&#xff0c;宣布捐款1亿元&#xff0c;用于河南当地的救灾工作和灾后重建。 与此同时&#xff0c;走入大众视野的…

倍福PLC——ADS上位机通讯

倍福PLC——ADS上位机通讯 前言一、ADS服务二、使用ads函数进行数据通讯1.通过句柄读写c#读取写入代码 前言 工程中涉及与倍福plc的交互用到ads通讯&#xff0c;在此稍作研究总结。 一、ADS服务 本机没有安装倍福全家桶的需要安装一下这个TwinCAT System。 安装完成后需要配置…

股价大跌、现金流承压,工业富联风光不再?

‍ ‍数据智能产业创新服务媒体 ——聚焦数智 改变商业 昔日的消费电子赛道独角兽工业富联正渐渐失去光环。8月&#xff0c;工业富联发布了2022年上半年财报&#xff0c;数据背后&#xff0c;工业富联处境如何&#xff1f; 净利润增幅放缓&#xff0c;现金流净额大幅下滑 2022…

工业富联灯塔工厂白皮书:智能制造里程碑.pdf(附下载链接)

大家好&#xff0c;我是文文&#xff08;微信&#xff1a;sscbg2020&#xff09;&#xff0c;今天给大家分享富士康工业互联网、亿欧和腾讯云于2020年6月联合发布的白皮书《工业富联灯塔工厂白皮书&#xff1a;智能制造里程碑.pdf》,本白皮书共59页&#xff0c;包含如下四大部分…

工业富联智能嬗变

配图来自Canva可画 提到代工厂&#xff0c;很多人很容易就想到富士康、比亚迪、立讯精密。而作为脱胎于富士康集团的工业富联&#xff0c;也很容易被外界贴上“代工厂”的标签。 事实上&#xff0c;自成立之初工业富联就将它的发展方向&#xff0c;放在了工业互联网和智能制造…