服务器最近cpu经常跑满,查看进程发现一个postgres账号运行的kdevtmpfsi进程占98%以上
看来是之前宝塔安装的postgres遗留的问题
查了一下,这个kdevtmpfsi是一个臭名昭著的挖矿病毒,下面记录一下清理过程
服务器最近cpu经常跑满,查看进程发现一个postgres账号运行的kdevtmpfsi进程占98%以上
看来是之前宝塔安装的postgres遗留的问题
查了一下,这个kdevtmpfsi是一个臭名昭著的挖矿病毒,下面记录一下清理过程
第一步,运行crontab -l,看一下有没有可疑的定时任务
第二步,运行ps -ef|grep kinsing,检查kdevtmpfsi程序的守护进程kinsing ,并且使用 kill -9 PID 杀死对应的进程
第三步,运行ps -ef |grep kdevtmpfsi,检查进程,并且使用 kill -9 PID 杀死对应的进程
第四步,运行find / -iname kdevtmpfsi,定位文件位置,删除之
第五步,运行find / -iname kinsing,定位文件位置,删除之
第六步,从用户表中删除postgres账号
清除完成之后,重启一下服务器,再运行一下ps -ef |grep kdevtmpfsi和ps -ef|grep kinsing,核实是否清除干净。
写在后面的话
作为一名宝塔面板的长期用户,最近在多台服务器安装的postgres遭遇了数据库勒索,黑客将我原来的数据删除,并在系统数据库留下邮箱,要求交赎金以还回被删除的数据。目前怀疑宝塔的官方软件源感染了相关病毒。
相关帖子
https://www.bt.cn/bbs/thread-120989-1-1.html
官方目前严重不负责任,让用户自己检查源码,作为个人用户,没有这个能力和精力,请大家谨慎使用宝塔面板。
