记一次解决kdevtmpfsi挖矿病毒

最近的一个项目即将上线，在一个微软云测试账号上进行预部署并测试。

部署完成没几天，突然发现有个进程占满了CPU,此时我就知道中挖矿病毒了，因为在之前公司的项目中也遇到过。

中毒了那就解决呗。。。

某度了一下发现，中这个毒的人还不少，解决方式都如出一辙，删除病毒文件

rm -f /tmp/kdevtmpfsi
rm -f /tmp/kinsing

其中第二个为病毒的守护进程文件，另外检查定时 crontab -l 看下是否有可以的定时任务进行删除。

再用命令kill掉病毒和守护进程

ps -aux | grep kinsing |grep -v grep|cut -c 9-16 | xargs kill -9
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-16 | xargs kill -9

查了下中毒原因都说是redis未设置密码或弱密码引起的，但是我的redis端口并未开放外网访问权限，到现在也不清楚什么原因。但是呢，我的redis确实未设置密码，所以立即把redis改了密码，然后更换了端口，重启。

然而第二天病毒又出现了。。。

使用 netstat -antp 命令发现有陌生IP连接了sshd,但是我i的机子只允许使用RSA私钥登录，难道私钥泄露了？我又重新生成了私钥，删除了原来的。。。

原以为这次应该OK了

没想到第二天还是出现了病毒，而且还有陌生IP连接sshd

我想用固定IP登录，其他的IP全部禁止，然而发现公司的外网IP不固定，每天的都不一样。。如果设置了可能自己都登不进去了。。。而且也未找到根本原因。。。

当我快绝望时，准备使用一种以暴制暴的方式，就是自己加个定时任务，检查是否有病毒，有病毒就kill掉，虽然这种方式治标不治本。。。突然发现有陌生IP连接了项目里的springcloud gateway，

然后查了下，在版本< 3.0.7的gateway中有个远程执行代码的漏洞。。。

解决方式，要么升级gateway到3.0.7，或者如果没使用到acture接口的话，直接加上配置禁用

management:
  endpoint:
    gateway:
      enabled: false

或者如果网关外网用不上就直接用防火墙关了网关端口。。。

目前到现在病毒未出现过，但是现在没有证据证明病毒一定是从这个口进来的，只能继续观察了