记录一次处理 kdevtmpfsi 挖矿病毒
收到预警短信…
Linux 查看进程之PS命令
ps aux --sort=%cpu
或者使用top命令,看哪个进程占用CPU。使用top观察了一会儿,kdevtmpfsi这个进程CPU一直在99左右,应该就是它了。
首先应该检查服务器是否有可疑的定时任务。使用crontab -l命令来查看当前的服务器的定时任务。
居然没有定时任务,那就先kill掉进程试试,通过kill {PID} 的方式结束进程,看着CPU是降下来了,然后find / -name kdevtmpfsi再找本地是不是又相关的文件。
不知道为啥,没有找到结果,经过一番搜索,有人说可能跟docker有关
接着使用docker ps -a 查看本地正在运行的容器。其他容器我都认识,这个ubuntu的容器是偷渡来的吧?
把docker里的这个容器停掉就行了。
另外,为了避免再被攻击,关闭了阿里云服务器开放的docker默认端口2375,关掉这个端口。