收到阿里云警告服务器中蠕虫病毒,进行top
大致是这样的,kdevtmpfsi 的CPU占满,
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
可以找到对应的PID
kill -9 PID 2个都得杀
find / -name kdevtmpfsi
find / -name kinsing
再rm 掉这样文件。。。。。。。。。 然而事情并没有这么简单。。过了会它又恢复了。。然后就删了恢复删了恢复。。。
最后发现
Docker镜像多了个Ubuntu,而且还在执行定时任务。。。
事情一下子就清晰了,病毒的原因是 docker remote api的漏洞(自己作死开启了docker远程连接还使用了默认端口,并且没有做任何安全处理),导致了Ubuntu镜像被人安装,然后这个镜像里的定时任务开始挖矿。。。
所以解决:修改docker远程连接端口并且进行安全认证,删除Ubuntu的容器和镜像,和删kdevtmpfsi的进程和文件
最后说一句,连我1核2G的弱鸡服务器都不放过,禽兽啊!