TOP命令查看发现kdevtmpfsi进程跑满CPU, 处理如下:
解决过程
1、清除被新增的用户名和密码
# 找到账户ID和权限组都是0跟root同级别的和不认识的, 删掉保存。
vim /etc/passwd
2、删除免密登录
# 有时免密登录里也被加入了黑客的公钥Key
rm -rf ~/.ssh/*
3、清除定时任务
crontab -l && vim /etc/crontab #查看有没有新增的不明定时任务
cd /etc/cron.d #这里能查看到所有用户的定时任务, 不明的删掉.
service crond restart
#定时任务还可能存在于这些地方, 检查删掉:
/etc/crontab
/var/spool/cron/
/var/spool/cron/crontabs/
注意:
chattr -isa [文件|目录] #以上操作可能会提示无法保存或者删除,是因为病毒将文件加了锁, 执行 "chattr -isa [文件|目录]" 可以删除
systemctl status 进程PID #若无法执行, 手动给权限"chmod 755 /usr/bin/systemctl"
4、删除ld.so.preload文件
rm -rf /etc/ld.so.preload
5、查找和删除恶意程序
systemctl status 进程PID #检查恶意程序所有进程和守护进程, 一同kill掉
kill -9 进程名
ps -aux|grep kdevtmpfsi #查看成功kill掉没有
find / -name "*kdevtmpfsi*" #查找所有kdevtmpfsi带字样的文件
rm -rf /var/lib/systemd/coredump/core.kdevtmpfsi.999.9dc63e6173a34d57a2ebc3fbac71b86e.446380.1660536323000000.lz4 #删掉
# 删一次文件之后再杀一次进程,但是挖矿病毒还会再开进程,我就继续删文件继续杀进程。
6、重启服务器
reboot
7、服务器查看ssh登录历史
cd /var/log
less secure #输入"/Invalid user"和"?Invalid user"查找
标签:etc,清除,kdevtmpfsi,恶意程序,var,进程 From: https://www.cnblogs.com/zhaolongisme/p/16628184.html