Linux CPU占用率99%很高被kdevtmpfsi 和kinsing 挖矿病毒入侵

目录

一.redis引起kdevtmpfsi

1:警告

2:查看cup占用

3:解决问题

1.首先停掉kdevtmpfsi的程序

2.删除Linux下的异常定时任务

3.结束kdevtmpfsi进程及端口占用

4:删除掉kdevtmpfsi的相关文件

4:怎么预防处理这个病毒

二.docker 引起kdevtmpfsi

1:查看病毒原

2:查找问题源头   

    2.1 查询定时任务

  2.2 查询相关文件，发现和docker有关，好的吧，接着去查看docker

3:解决问题

---

一.redis引起kdevtmpfsi

1:警告

先上阿里云上的报警信息。有个最大的问题是：top命令查看自己服务器CPU运行情况，会发现kdevtmpfsi的进程，CPU使用率为100%，第一次删除干净了kdevtmpfsi程序，没曾想几分钟以后，就出现了第二个警告。使用netstat -antp命令查看端口使用情况，又出现了kdevtmpfsi如图三所示

2:查看cup占用

[root@server02 tmp]# top

3:解决问题

一般出现kdevtmpfsi病毒都会伴有定时任务，就会出现我上面说的处理一次后，又会继续出现，反反复复处理不干净。

1.首先停掉kdevtmpfsi的程序

[root@server02 apache-hive-2.1.1-bin]# ps -aux 

找到kdevtmpfsi的进程

删除掉与kdevtmpfsi相关的进程

kill -9 6316
kill -9 6402

2.删除Linux下的异常定时任务

 

• crontab -l 查看定时任务
• crontab -r 表示删除用户的定时任务，当执行此命令后，所有用户下面的定时任务会被删除

如下图所示

3.结束kdevtmpfsi进程及端口占用

netstat -antp
1找到kdevtmpfsi端口。不要直接杀掉，因为有守护线程还会重启。

杀死进程

[root@server02 apache-hive-2.1.1-bin]# ps -aux | grep kinsing
[root@server02 apache-hive-2.1.1-bin]# ps -aux | grep kdevtmpfsi

kill -9 14511
kill -9 14493

4:删除掉kdevtmpfsi的相关文件

cd  /tmp
ls
rm -rf kdevtmpfsi 
rm -rf /var/tmp/kinsing  
最后自己可以再检查一下是否还有kdevtmpfsi的相关文件，有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing

4:怎么预防处理这个病毒

最根本的原因是自己的redis 6379配置不当导致的。大家可以参考阿里云的Redis服务安全加固

 

二.docker 引起kdevtmpfsi

1:查看病毒原

2:查找问题源头   

 
   2.1 查询定时任务

crontab -l

   查询定时任务。并没有发现，可能隐藏在别的地方

  2.2 查询相关文件，发现和docker有关，好的吧，接着去查看docker

find / -name kdevtmpfsi

查看执行的docker

docker ps

 ubuntu是什么，我从来没装过,看来有可能潜伏在里面

3:解决问题

docker stop 88ec131c4c4e --停止容器
docker ps -a             --查询容器的id
docker rm 88ec131c4c4e   --删除容器
docker images            --查询镜像
docker rmi 4e5021d210f6  --删除镜像(如果前面命令删除不了,可以用这个docker rmi -f image_ID )