0%

记一次清理挖矿程序

Posted on 2020-01-14 Views: Changyan:

1、问题查找

1.1、top查看程序，发现kdevtmpfsi这个程序占用CPU达到百分之400。并发现COMMAND执行这个程序在/opt下，决定使用find来查看是否有相关的文件。
find / -name kdevtmpfs
1.2、将kdevtmpfsi删掉并准备kill掉kdevtmpfsi程序发现这个程序由redis这个用户来启动的，而且redis是一个进程用户。于是打算查看下网络状态

netstat -natp
根据进程名查看与内网的 tcp 链接异常，看到了陌生ip。
1.3、这时候我打算kill掉kdevtmpfsi，这时候发现这个程序还会在启动

2、解决方案

2.1、kdevtmpfsi有守护进程，单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing，需要kill后才能解决问题。
2.2、相关命令

systemctl status kdevtmpfs
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
killall  -9   kdevtmpfs
killall  -9   kinsing
find / -name kdevtmpfsi -exec rm -rf {} \;
find / -name kinsing -exec rm -rf {} \;

-------------本文结束感谢您的阅读-------------

Post author: 幽乐谷
Post link: https://www.misslegu.com/2020/01/14/记一次清理挖矿程序-1/
Copyright Notice: All articles in this blog are licensed under BY-NC-SA unless stating additionally.