linux处理kdevtmpfsi，kswapd0（挖矿病毒清除）

话不多说上干货

突然发现服务挂了，服务器无法登录，直接在管理平台重启后登录
检查服务器

top  查看当前服务器情况

发现异常，kswapd0把cpu干爆了

 网上查了一圈发现这特喵的是挖矿病毒  惊呆了

接下来是我自己的查询网上以及自己摸索的一些方法

第一步 删除定时器里的定时任务

查询是否有异常的定时任务
crontab -l
如果有可以进行删除
crontab -e 
如果自己没有设置过定时器，直接进行删除
crontab -r

以下我定时器中的异常定时任务

第二步 删除掉定时器中的异常目录

rm -rf /root/.configrc4
rm -rf /dev/shm/.Xkal/.rsync/c/aptitude

第三步 查询异常进程与文件，对其进行删除

find / -name kswapd0
ps -ef | grep kswapd0
查询进程，将相关的进程直接kill -9 pId杀死

第四步 查询挖矿病毒文件

find / -name kdevtmpfsi
对其进行删除，如果删除不掉，可以尝试查询进程
ps -ef | grep kdevtmpfsi
kill掉后再进行删除，如果再无法删除
用chattr去掉文件属性
chattr -i kdevtmpfsi
直接对文件进行删除

第五步 查询服务器是否有异常的公钥

cat ~/.ssh/authorized_keys 查看是否有陌生的的公钥，有则删除掉

安全建议
    尽量用密钥连接服务器，禁用账号密码连接，修改默认的22端口。
    封闭不使用的端口，做到用一个开一个（通过防火墙和安全组策略）
    密码增强复杂性，别用什么 1q2w3e之类的，这些都的常用的破戒字典也有的。
    及时修补系统和软件漏洞

观察几天如果没问题就没事了