记一次简单的清理挖矿程序过程-kdevtmpfsi --- 20

今天碰到了个棘手的问题，棘手就棘手在，线上服务器出了问题，cpu飙升到了顶峰，导致我们的域名打不开，无法访问
，使用 top命令查看，root用户下有个进程的cpu使用率过高，而且服务器的cpu和配置我是刚升级的，
那么问题就很明显了，服务器CPU资源占用一直处于100%的状态，检查发现是kdevtmpfsi和networkservice两个进程占用导致的。两个进程都为挖矿程序。
解决方案：

1. 使用命令：

# top

QQ截图20200408115908.png

看上图，发现
服务器CPU被跑满了，是一个名为‘kdevtmpfsi’的程序

找到kdevtmpfsi的进程

# ps aux | grep kdevtmpfsi

删除掉与kdevtmpfsi相关的进程

# kill -9  pid号码

删除Linux下的异常定时任务

crontab -l 查看定时任务
crontab -r 表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除

结束kdevtmpfsi进程及端口占用

# netstat -antp

# ps -aux | grep kinsing
# ps -aux | grep kdevtmpfsi

使用 kill -9 杀掉 kinsing 和 kdevtmpfsi的进程号

删除掉kdevtmpfsi 和 kinsing 的相关文件

可以使用

# find / -name kdevtmpfsi
# find / -name kinsing

查找到相关文件，然后删除掉即可

怎么预防处理这个病毒
最根本的原因是自己的redis 6379配置不当导致的。大家可以参考阿里云的Redis服务安全加固
https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p