阿里云ubuntu下处理 kdevtmpfsi进程——挖矿病毒

阿里云连续好几天给我发短信,说云服务器访问恶意IP。

查一下,妈耶,CPU100%,kdevtmpfsi也是著名的挖矿病毒,这还是我第一次在linux下遇到病毒。

原因大概是,我为了做大数据实验,开了一个子账户,并设置一个很简单的密码;也有可以是大家说的redis未设密码。

1. top ,找到相关进程

 

2. systemctl,查看其相关进程

 

 3. 杀死kingsing、kdevtmpfsi进程

ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

kill  -9   23437
kill  -9   18534

4. 删除挖矿进程文件

cd /tmp
rm -rf kdevtmpfsi  
rm -rf /var/tmp/kinsing  #守护进程文件也要删除

5. 至关重要的一步,查看一下定时脚本中有没有指定下载的程序

crontab -e  #把里面的全删掉

 

6. 最后一步去查看自己的ssh无密登录,这个可能是最后的后门了

cd ~/.ssh 
rm *  #我也不知道是哪个,全删了

现在看起来没什么问题了。

 

 

参考链接:

1. https://blog.csdn.net/qq_40215763/article/details/105953541

2. https://blog.csdn.net/Baiychenvip/article/details/103778111

posted @ 2020-07-27 11:19  Rogn  阅读(1205)  评论(0编辑  收藏  举报