kdevtmpfsi linux 挖矿病毒 配置root用户禁止ssh登录 修改ssh端口号

自己买的云主机被挖矿病毒多次入侵，kill掉挖矿进程，过不久就又启动了，而且还有被暴力破解的情况（主要原因是没有禁止root登录，端口号没有更改，容易被黑客扫描到，进而进行暴力破解密码登录，然后植入病毒），所以就总结了一些方法来进行服务器安全加固。

发现问题

1、服务器cpu占用过高

2、服务器被植入恶意脚本病毒

3、服务器被暴力破解

分析造成问题的原因

1、docker镜像未授权访问（究其原因是因为我自己在学怎么在idea上把jar包打成docker镜像发布到服务器，所以我自己配置了允许外部所有ip可以访问服务器的docker）

2、服务器允许root用户登录，ssh端口号用的默认的22端口

解决问题

1、首先清理掉服务器的挖矿程序及定时任务

找到kdevtmpfsi的进程

ps aux

kill掉相关进程

查询定时任务

crontab -l

查询定时任务，没有异常定时任务

查询kdevtmpfsi的相关文件

和docker有关，果然和我开启docker允许外部访问有关

vim /lib/systemd/system/docker.service

这一行（15行）是我开启docker远程访问用的，注释掉，换成默认的（14行）

#重新加载配置文件
systemctl daemon-reload    
#重启服务
systemctl restart docker.service 
#查看端口是否开启
netstat -nlpt
#直接curl看是否生效
curl http://127.0.0.1:2375/info

关闭完成后外部就无法访问到我们服务器的docker服务了

清理掉病毒文件

1.修改ssh端口号为2202

vim /etc/ssh/sshd_config

2.修改禁止root用户通过ssh登陆（个人用户不建议，因为没有公司的专业运维，不需要权限控制）

vim /etc/ssh/sshd_config
把PermitRootLogin yes改为 no #并且去掉前面的注释符

3.限制失败次数

注意： 这个失败次数是对所有用户都起作用的。
vim /etc/ssh/sshd_config
去掉MaxAuthTries 6 前面的注释符
（失败次数超过6次禁止登陆）

##### #### ### 以上三步重启ssh服务生效****************

systemctl restart sshd