（挖矿病毒清除）kdevtmpfsi 处理，其他挖矿软件也可用该思路清除

1、Top命令线程运行情况，找到kdevtmpfsi对应的进程ID

2、使用 kill -9 PID

3、过段时间再次被重启，说明有守护线程

?

1	systemctl status PID

查看其关联的守护进程，/tmp/kinsing   /tmp/kdevtmpfsi删除

?

1 2	rm -rf /tmp/kinsing rm -rf /tmp/kdevtmpfsi

4、crontab -l 命令先看看 crontab 的定时任务列表

5、crontab -e 命令进行定时任务编辑（去除陌生的定时任务（要求在root用户下），在打开的文本中，按 i 进行编辑删除，编辑完后按【Esc退出】键退出编辑，再输入 :wq 强制性写入文件并退出

6、查看对应的PID并kill掉

?

1 2	ps -ef|grep kdevtmpfsi ps -ef|grep kinsing

7、find / -iname kdevtmpfsi 命令再次确定kdevtmpfsi文件所在位置以便删除，使用 rm -rf 所在位置 删除 kdevtmpfsi 程序

find / -iname kinsing 命令再次确定 kinsing 文件所在位置以便删除，使用 rm -rf 所在位置 删除 kinsing 程序

8、cat ~/.ssh/authorized_keys 查看是否有陌生的的公钥，有则删除掉

问题防护：

1）把异常的IP地址，入站及出站全部封禁

2）禁止使用默认端口，非必要不暴露在公网或绑定指定IP

3）启用ssh公钥登陆，禁用密码登陆。

4）完善安全策略，入口流量，非必要一般只开放 80 443 端口就行，出口流量默认可以不限制，如果有需要根据需求来限制。