IP地址被疑挖矿怎么办

1、首先使用find命令在IP地址中找到kdevtmpfsi进程的位置。

2、其次利用这个进程找到挖矿程序的守护进程并kill它，删除守护进程的文件，删除挖矿程序的所有文件。

3、最后杀死挖矿进程并删除它的定时任务即可。

前几天突然发现公司服务器很卡，CPU经常飙到200%；网站服务被自动停止，甚至服务器崩溃；于是进行排查，发现一个名为：kdevtmpfs的进程占用了180%多的CPU，吓了一跳，于是赶紧排查问题：首先查到这个进程并不少我们服务器用到的进程，于是在网上查找这个问题，发现很多人都遇到过，于是根据网上的一个教程开始清理：

1、删除掉/tmp文件下的kdevtmpfs文件；删除掉kdevtmpfs对应的进程，清理掉定时任务；（无效，几分钟后依然会自动重启，自动在定时任务新增定时任务）（ https://blog.csdn.net/qq503758762/article/details/103714342 ）

2、修改定时任务，不允许新增定时任务，复述1的步骤；（无效，依然会自动重新启动）；

3、经历上述两个方法都无效之后，做了以下 *** 作：a、先用top命令查看进程号；b、根据systemctl status进程号命令，查看该进程对应的父进程；把对应进程下的程序都干掉；重复几次发现都是一个叫做kingsfdt的进程会和这个kdevtmpfs同时启动；c、查看kingsfdt的进程，发现这也是一个陌生的进程，先不kill掉d:查看系统防火墙，发现对应的23549端口不知道什么时候开放的，并且对应的是kingsfdt这个进程，于是果断把这个进程干掉，同时把端口号封掉；e、再回头删除tmp下的kdevtmpfs文件，再依次删除两个陌生进程；f、登录AWS控制台，把ssh端口改掉，22端口封掉；进入ssh修改root密码，设定只能本地登录；重启服务器；观察了一天，发现服务稳定了，系统也正常运行了，CPU也正常了。开心。

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为

-bash，按c查看详情，名称显示为python

十分可疑

杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了

查看/etc/cron.hourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

cron.daily cron.weekly cron.monthly里面也有

同样方法删除/bin/sysdrr

至此病毒被彻底清除

删除/opt/.new目录时，发现此目录下还有一个/opt/.md目录，内容如下

病毒运行原理是

其他常用的诊断命令

关联文章：

云服务器中挖矿病毒的清除过程

服务器中毒导致的wget等系统命令失效后的恢复

参考文章：

【PC样本分析】记录最近与挖矿病毒的斗智斗勇

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)

---