IP地址被疑挖矿怎么办

1、首先使用find命令在IP地址中找到kdevtmpfsi进程的位置。

2、其次利用这个进程找到挖矿程序的守护进程并kill它，删除守护进程的文件，删除挖矿程序的所有文件。

3、最后杀死挖矿进程并删除它的定时任务即可。

前几天突然发现公司服务器很卡，CPU经常飙到200%；网站服务被自动停止，甚至服务器崩溃；于是进行排查，发现一个名为：kdevtmpfs的进程占用了180%多的CPU，吓了一跳，于是赶紧排查问题：首先查到这个进程并不少我们服务器用到的进程，于是在网上查找这个问题，发现很多人都遇到过，于是根据网上的一个教程开始清理：

1、删除掉/tmp文件下的kdevtmpfs文件；删除掉kdevtmpfs对应的进程，清理掉定时任务；（无效，几分钟后依然会自动重启，自动在定时任务新增定时任务）（ https://blog.csdn.net/qq503758762/article/details/103714342 ）

2、修改定时任务，不允许新增定时任务，复述1的步骤；（无效，依然会自动重新启动）；

3、经历上述两个方法都无效之后，做了以下 *** 作：a、先用top命令查看进程号；b、根据systemctl status进程号命令，查看该进程对应的父进程；把对应进程下的程序都干掉；重复几次发现都是一个叫做kingsfdt的进程会和这个kdevtmpfs同时启动；c、查看kingsfdt的进程，发现这也是一个陌生的进程，先不kill掉d:查看系统防火墙，发现对应的23549端口不知道什么时候开放的，并且对应的是kingsfdt这个进程，于是果断把这个进程干掉，同时把端口号封掉；e、再回头删除tmp下的kdevtmpfs文件，再依次删除两个陌生进程；f、登录AWS控制台，把ssh端口改掉，22端口封掉；进入ssh修改root密码，设定只能本地登录；重启服务器；观察了一天，发现服务稳定了，系统也正常运行了，CPU也正常了。开心。

手机如果被挖矿，建议尝试重启后恢复出厂设置，如果不行的话，需要咨询专业人员进行维修。手机、全称为移动电话或无线电话，通常称为手机，原本只是一种通讯工具，早期又有大哥大的俗称，是可以在较广范围内使用的便携式电话终端。手机分为智能手机和非智能手机，一般智能手机的性能比非智能手机要好，但是非智能手机比智能手机性能稳定，大多数非智能手机和智能手机使用英国ARM公司架构的CPU。智能手机的主频较高，运行速度快，处理程序任务更快速，日常更加的方便。而非智能手机的主频则比较低，运行速度也比较慢。

---