服务器被攻击并植入kdevtmpfsi挖矿病毒木马

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为
-bash，按c查看详情，名称显示为python
十分可疑
杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了
查看/etc/cronhourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

crondaily cronweekly cronmonthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除

删除/opt/new目录时，发现此目录下还有一个/opt/md目录，内容如下
病毒运行原理是

其他常用的诊断命令

关联文章：
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复

参考文章：
PC样本分析记录最近与挖矿病毒的斗智斗勇
PC样本分析记录最近与挖矿病毒的斗智斗勇(二)

---