阿里云ubuntu下处理 kdevtmpfsi进程——挖矿病毒

阿里云连续好几天给我发短信，说云服务器访问恶意IP。

查一下，妈耶，CPU100%，kdevtmpfsi也是著名的挖矿病毒，这还是我第一次在linux下遇到病毒。

原因大概是，我为了做大数据实验，开了一个子账户，并设置一个很简单的密码；也有可以是大家说的redis未设密码。

1. top ，找到相关进程

 

2. systemctl，查看其相关进程

 

 3. 杀死kingsing、kdevtmpfsi进程

ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

kill  -9   23437
kill  -9   18534

4. 删除挖矿进程文件

cd /tmp
rm -rf kdevtmpfsi  
rm -rf /var/tmp/kinsing  #守护进程文件也要删除

5. 至关重要的一步，查看一下定时脚本中有没有指定下载的程序

crontab -e  #把里面的全删掉

 

6. 最后一步去查看自己的ssh无密登录，这个可能是最后的后门了

cd ~/.ssh 
rm *  #我也不知道是哪个，全删了

现在看起来没什么问题了。

 

 

参考链接：

1. https://blog.csdn.net/qq_40215763/article/details/105953541

2. https://blog.csdn.net/Baiychenvip/article/details/103778111