kdevtmpfsi 挖礦病毒入侵
檢視端口并殺掉任務
kdevtmpfsi有守護程序,單獨kill掉kdevtmpfsi程序會不斷恢複占用。守護程序名稱為kinsing,需要kill後才能解決
ps -aux |grep kinsing
ps -aux |grep kdevtmpfsi
[外鍊圖檔轉存失敗,源站可能有防盜鍊機制,建議将圖檔儲存下來直接上傳(img-pRCdR8b2-1619339244799)(https://i.loli.net/2020/06/01/EBZ8oiSumFjUz2G.png)]
檢視定時任務
crontab -l
删除定時任務
crontab -r
删除相關檔案
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing
檢查是否還有kdevtmpfsi的相關檔案
find / -name kdevtmpfsi
find / -name kinsing
原因分析
- Redis安全配置不當
- 伺服器的防火牆規則配置
- 可能開啟了太多未用端口導緻
- 改掉 Yarn的ResourceManager Web 應用程式 HTTP 端口 (預設8088) 改成了8099 (很大原因)