阿里云服务器被挖矿？kdevtmpfsi 进程CPU100%

收到阿里云警告服务器中蠕虫病毒，进行top

大致是这样的，kdevtmpfsi 的CPU占满，

ps -aux | grep kinsing

ps -aux | grep kdevtmpfsi

可以找到对应的PID 

kill -9 PID  2个都得杀

find / -name kdevtmpfsi

find / -name kinsing

再rm 掉这样文件。。。。。。。。。 然而事情并没有这么简单。。过了会它又恢复了。。然后就删了恢复删了恢复。。。

最后发现

Docker镜像多了个Ubuntu，而且还在执行定时任务。。。

事情一下子就清晰了，病毒的原因是 docker remote api的漏洞（自己作死开启了docker远程连接还使用了默认端口，并且没有做任何安全处理），导致了Ubuntu镜像被人安装，然后这个镜像里的定时任务开始挖矿。。。

 

所以解决：修改docker远程连接端口并且进行安全认证，删除Ubuntu的容器和镜像，和删kdevtmpfsi的进程和文件

最后说一句，连我1核2G的弱鸡服务器都不放过，禽兽啊！