linux清除恶意程序流程-kdevtmpfsi清除

TOP命令查看发现kdevtmpfsi进程跑满CPU, 处理如下:

 

解决过程

1、清除被新增的用户名和密码
# 找到账户ID和权限组都是0跟root同级别的和不认识的, 删掉保存。

  more /var/log/secure |grep Accepted  #查找异常登陆
  vim /etc/passwd

2、删除免密登录
# 有时免密登录里也被加入了黑客的公钥Key
  rm -rf ~/.ssh/*

3、清除定时任务
  crontab -l && vim /etc/crontab #查看有没有新增的不明定时任务
  cd /etc/cron.d  #这里能查看到所有用户的定时任务, 不明的删掉.
  service crond restart
  #定时任务还可能存在于这些地方, 检查删掉:
  /etc/crontab
  /var/spool/cron/
  /var/spool/cron/crontabs/

  注意:
  chattr -isa [文件|目录]  #以上操作可能会提示无法保存或者删除，是因为病毒将文件加了锁, 执行 "chattr -isa [文件|目录]" 可以删除
  systemctl status 进程PID  #若无法执行, 手动给权限"chmod 755 /usr/bin/systemctl"

4、删除ld.so.preload文件
  rm -rf /etc/ld.so.preload

5、查找和删除恶意程序
  systemctl status 进程PID  #检查恶意程序所有进程和守护进程, 一同kill掉
  kill -9 进程名
  ps -aux|grep kdevtmpfsi  #查看成功kill掉没有
  find / -name "*kdevtmpfsi*"  #查找所有kdevtmpfsi带字样的文件
  rm -rf /var/lib/systemd/coredump/core.kdevtmpfsi.999.9dc63e6173a34d57a2ebc3fbac71b86e.446380.1660536323000000.lz4  #删掉
  # 删一次文件之后再杀一次进程,但是挖矿病毒还会再开进程，我就继续删文件继续杀进程。

6、重启服务器
  reboot

7、服务器查看ssh登录历史
  cd /var/log
  less secure  #输入"/Invalid user"和"?Invalid user"查找