From ae2ff7e7788760a3049124c969f1f0610bdd2dff Mon Sep 17 00:00:00 2001
From: liuxin <1210087388@qq.com>
Date: Mon, 7 Mar 2022 17:23:39 +0800
Subject: [PATCH] =?UTF-8?q?kdevtmpfsi=E6=8C=96=E7=9F=BF=E7=97=85=E6=AF=92?=
 =?UTF-8?q?=E8=A7=A3=E5=86=B3=E6=96=B9=E6=A1=88?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 kdevtmpfsi挖矿病毒解决方案.md | 53 ++++++++++++++++++++++++++++++++++
 user_manual.md                        | 54 -----------------------------------
 2 files changed, 53 insertions(+), 54 deletions(-)
 create mode 100644 kdevtmpfsi挖矿病毒解决方案.md

diff --git a/kdevtmpfsi挖矿病毒解决方案.md b/kdevtmpfsi挖矿病毒解决方案.md
new file mode 100644
index 0000000..746eb3c
--- /dev/null
+++ b/kdevtmpfsi挖矿病毒解决方案.md
@@ -0,0 +1,53 @@
+**云主机被kdevtmpfsi挖矿解决方法:**
+
+1. **kdevtmpfsi预防情况:**
+
+   ​        **预防一:挖矿这种情况,是因为开了8088端口,现在把YARN上的配置文件里的8088端口修改成其它的端口,比如18088端口,然后把云主机的8088端口关闭掉,把18088端口打开就可以了。**
+
+   ​        **预防二: 设置复杂的密码,外网防火墙放行指定IP。**
+
+2. **kdevtmpfsi出现时按以下步骤解决:**
+
+   ​         **1): top命令,查看cpu使用率很大的情况(top命令的第一列就是进程的pid)**
+
+   <img src="img/top.jpg" alt="top" style="zoom:100%;" />
+
+   ​       **2): 找到矿毒进程**
+
+   <img src="img/grep.jpg" alt='grep' style= "zoom:100%;" />
+
+   
+
+   ​       **3):  杀死进程(两个)**
+
+   <img src="img/kill.jpg" alt='kill' style = 'zoom:175%;'/>
+
+   ​                   
+
+   ​      **4):  删除Linux下的异常定时任务**
+
+   ​                            **crontab -l     //查看定时任务**
+
+   ​                            **crontab -e    //删除用户的定时任务**
+
+   <img src="img/query.jpg" alt='query' style= "zoom:150%;/">
+
+   
+
+   ​     **5):  删除文件,删除完后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除。**
+
+   <img src="img/delete.png" alt='delete' style="zoom:150%;/">
+
+      **6): 病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑**
+
+   ​                         **vim ~/.ssh/authorized_keys  //打开文件后删除不认识的公钥**
+
+   <img src="img/key.jpg" alt='key' style = 'zoom:100%;/'>
+
+      **7): 病毒成功删除**
+
+   <img src="img/deleted.jpg" alt='deleted' style='zoom:100%;/'>
+
+      **8): 保险起见**
+
+      **如果CPU还是高速运转,只需重复第一步,因为它的威胁文件被删除了,如果还在跑我们就清理进程,就不会再有了。**
\ No newline at end of file
diff --git a/user_manual.md b/user_manual.md
index 83a4730..b2e67d3 100644
--- a/user_manual.md
+++ b/user_manual.md
@@ -55,60 +55,6 @@
 
 <img src="img/mod_firewall.png" alt="云主机2" style="zoom:100%;" />
 
-**1.5 云主机被挖矿解决方法:**
-
-​       **按以下步骤解决:**
-
-​                      **1): top命令,查看cpu使用率很大的情况(top命令的第一列就是进程的pid)**
-
-<img src="img/top.jpg" alt="top" style="zoom:100%;" />
-
-​                      **2): 找到矿毒进程**
-
-<img src='img/grep.jpg' alt='grep' style= "zoom:100%;" />
-
-
-
-​                      **3):  杀死进程(两个)**
-
-<img src='img/kill.jpg' alt='kill' style = 'zoom:175%;'/>
-
-​                   
-
-​                      **4):  删除Linux下的异常定时任务**
-
-​                            **crontab -l     //查看定时任务**
-
-​                            **crontab -e    //删除用户的定时任务**
-
-<img src='img/query.jpg' alt='query' style= "zoom:150%;/">
-
-
-
-​                      **5):  删除文件,删除完后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除。**
-
-<img src='img/delete.png' alt='delete' style="zoom:150%;/">
-
-​                   **6): 病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑**
-
-​                         **vim ~/.ssh/authorized_keys  //打开文件后删除不认识的公钥**
-
-<img src='img/key.jpg' alt='key' style = 'zoom:100%;/'>
-
-​                  **7) 病毒成功删除**
-
-<img src='img/deleted.jpg' alt='deleted' style='zoom:100%;/'>
-
-​                **8) 保险起见**
-
-​                **如果CPU还是高速运转,只需重复第一步,因为它的威胁文件被删除了,如果还在跑我们就清理进程,就不会再有了。**
-
-​               **9)预防情况**
-
-​       **预防一:挖矿这种情况,是因为开了8088端口,现在把YARN上的配置文件里的8088端口修改成其它的端口,比如18088端口,然后把云主机的8088端口关闭掉,把18088端口打开就可以了。**
-
-​       **预防二: 设置复杂的密码,外网防火墙放行指定IP**。
-