kdevtmpfsi记录一次服务器挖矿解决方案
一、记录一次服务器挖矿解决方案
登录公司服务器发现cpu占用100%,发现是被挖矿了,查看进程为kdevtmpfsi
处理方法
1、通过kdevtmpfsi的PID查看有没有守护进程
systemctl status PID
2、杀掉kdevtmpfsi进程与守护进程kinsing
kill -9 kdevtmpfsi
kill -9 kinsing
3、查找文件
find / -name kdevtmpfsi
find / -name kinsing
4、把查找出来的文件删除掉
rm -f 文件
查看进程树
pstree -aps PID
查看进程详情
cd /proc/PID
ls -al
cat status
检查定时任务
crontab -e
检查开机启动脚本
cat /etc/init.d
查看密钥认证文件
rm -rf /root/.ssh/*
如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。
修复 SSH 配置项
一般默认脚本中进行修改的 PermitRootLogin、RSAAuthentication、PubkeyAuthentication 为开启状态,需要修改的是密钥认证文件名,建议修改成默认值 AuthorizedKeysFile .ssh/authorized_keys 即可。修改完成后重启 sshd 服务,使配置生效即可。
