kdevtmpfsi挖矿病毒处理

收到服务器监控发送的警报，CPU使用率达到100%，以下记录问题发现与处理方法

1. 使用top命令查看cpu进程，发现是kdevtmpfsi问题

   
   image.png
2. 删除相关进程
   需要先安装psmisc

[root]# yum install psmisc
[root]# killall -9 kdevtmpfsi

查看是否还存在

ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

3. 删除相关文件

cd  /tmp
ls
rm -rf kdevtmpfsi 
rm -rf /var/tmp/kinsing  
最后自己可以再检查一下是否还有kdevtmpfsi的相关文件，有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing

4. 删除异常定时任务

crontab -l 查看定时任务
crontab -r 表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除

image.png

ps.

1. 删除定时任务的时候出现错误/var/spool/cron/root: Permission denied
   解决：

[root@anson]# lsattr /var/spool/cron/                       # 查看权限
----ia---------- /var/spool/cron/root
[root@anson]# chattr -ai /var/spool/cron/root               # 去除权限
[root@anson]# lsattr /var/spool/cron/
---------------- /var/spool/cron/root

2. chattr命令被恶意删除，出现提示-bash: chattr: command not found
   解决：

yum remove e2fsprogs
yum -y install e2fsprogs