kdevtmpfsi ,kinsing xxxx 挖矿病毒清理

1、top   找到挖矿程序(kdevtmpfsi)进程号 CUP 占用100%

若是服务器本身(非容器如docker内)被挖矿 则参考 

杀死这个线程

ps -ef |grep kdevtmpfsi

ps -ef |grep kinsing

直接kill -9 (PID) 把这个线程干掉了  过一阵子又回来了.....
甚至 find / -name kdevtmpfsi
发现再 /tmp/kdevtmpfsi 这个文件
然后我们 rm -rf /tmp/kdevtmpfsi 把这个文件删除了
这么一小段时间会没有问题 可是过了一会儿这个线程就又启动了继续把cpu跑满了

2.问题所在
这个线程重复启动的原因是它还有一个守护线程在运行，检测到这个线程挂掉的时候就去重新启动，从而导致我们周而复始的出现这个问题

3.找到线程和守护线程 或其父程序
pstree -a

这时候我们就可以找到kdevtmpfsi线程 和它的守护线程kinsingDsv7Ubga

4.到的并kill线程和它的守护线程

然后直接kill - 9（Pid） 杀死这俩个线程
find / -name kdevtmpfsi
find / -name kinsing

删除其文件

 具体命令：

systemctl status 23437

ps -aux | grep kinsing

ps -aux | grep kdevtmpfsi

kill  -9   23437

kill  -9   18534

cd  /tmp

ls

 rm -rf kdevtmpfsi 

rm -rf /var/tmp/kinsing  记得这个守护进程的文件也要删掉，找不到的话，也可以用这个命令

find / -name kdevtmpfsi

find / -name kinsing

5.查找可疑定时任务
crontab -l

crontab -e删掉不可靠的定时任务

 

 

附:

当用docker 安装redis 且未设置密码 则会经常被植入挖矿病毒程序, 解决办法: redis 设置密码