kdevtmpfsi 挖矿病毒入侵
查看端口并杀掉任务
kdevtmpfsi有守护进程,单独kill掉kdevtmpfsi进程会不断恢复占用。守护进程名称为kinsing,需要kill后才能解决
ps -aux |grep kinsing
ps -aux |grep kdevtmpfsi
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pRCdR8b2-1619339244799)(https://i.loli.net/2020/06/01/EBZ8oiSumFjUz2G.png)]
查看定时任务
crontab -l
删除定时任务
crontab -r
删除相关文件
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing
检查是否还有kdevtmpfsi的相关文件
find / -name kdevtmpfsi
find / -name kinsing
原因分析
- Redis安全配置不当
- 服务器的防火墙规则配置
- 可能开启了太多未用端口导致
- 改掉 Yarn的ResourceManager Web 应用程序 HTTP 端口 (默认8088) 改成了8099 (很大原因)
![更改LYNC SIP地址[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)