Linux系统感染"kdevtmpfsi"病毒如何处理

最近我的阿里云服务器异常的卡，登陆阿里云服务top命令发现有个kdevtmpfsi进程吃了99%的cpu。

 

然后百度了下kdevtmpfsi，了解到：

kdevtmpfsi是一种挖矿病毒，而且有守护进程，单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing，需要kill后才能解决问题。

1.杀掉进程并删除文件（杀掉之后还会重新启动）

ps -aux | grep kinsing
kill -9 15693
ps -aux | grep kdevtmpfsi
kill -9 15881
rm -rf /tmp/kdevtmpfsi 
rm -rf /var/tmp/kinsing 

  

 2.查找问题源头    
   2.1 查询定时任务

crontab -l

   查询定时任务。并没有发现，可能隐藏在别的地方

  2.2 查询相关文件，发现和docker有关，好的吧，接着去查看docker

find / -name kdevtmpfsi

  

 2.3 查看执行的docker

docker ps

 ubuntu是什么，我从来没装过,看来有可能潜伏在里面

docker inspect 88ec131c4c4e

 查询发现定时任务潜伏在里面，怪不得刚才找不到.

 找到问题解决就方便了

docker stop 88ec131c4c4e --停止容器
docker ps -a             --查询容器的id
docker rm 88ec131c4c4e   --删除容器
docker images            --查询镜像
docker rmi 4e5021d210f6  --删除镜像

大功告成！！！