From ae2ff7e7788760a3049124c969f1f0610bdd2dff Mon Sep 17 00:00:00 2001 From: liuxin <1210087388@qq.com> Date: Mon, 7 Mar 2022 17:23:39 +0800 Subject: [PATCH] =?UTF-8?q?kdevtmpfsi=E6=8C=96=E7=9F=BF=E7=97=85=E6=AF=92?= =?UTF-8?q?=E8=A7=A3=E5=86=B3=E6=96=B9=E6=A1=88?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- kdevtmpfsi挖矿病毒解决方案.md | 53 ++++++++++++++++++++++++++++++++++ user_manual.md | 54 ----------------------------------- 2 files changed, 53 insertions(+), 54 deletions(-) create mode 100644 kdevtmpfsi挖矿病毒解决方案.md diff --git a/kdevtmpfsi挖矿病毒解决方案.md b/kdevtmpfsi挖矿病毒解决方案.md new file mode 100644 index 0000000..746eb3c --- /dev/null +++ b/kdevtmpfsi挖矿病毒解决方案.md @@ -0,0 +1,53 @@ +**云主机被kdevtmpfsi挖矿解决方法:** + +1. **kdevtmpfsi预防情况:** + + ​ **预防一:挖矿这种情况,是因为开了8088端口,现在把YARN上的配置文件里的8088端口修改成其它的端口,比如18088端口,然后把云主机的8088端口关闭掉,把18088端口打开就可以了。** + + ​ **预防二: 设置复杂的密码,外网防火墙放行指定IP。** + +2. **kdevtmpfsi出现时按以下步骤解决:** + + ​ **1): top命令,查看cpu使用率很大的情况(top命令的第一列就是进程的pid)** + + top + + ​ **2): 找到矿毒进程** + + grep + + + + ​ **3): 杀死进程(两个)** + + kill + + ​ + + ​ **4): 删除Linux下的异常定时任务** + + ​ **crontab -l //查看定时任务** + + ​ **crontab -e //删除用户的定时任务** + + query + + + + ​ **5): 删除文件,删除完后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除。** + + delete + + **6): 病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑** + + ​ **vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥** + + key + + **7): 病毒成功删除** + + deleted + + **8): 保险起见** + + **如果CPU还是高速运转,只需重复第一步,因为它的威胁文件被删除了,如果还在跑我们就清理进程,就不会再有了。** \ No newline at end of file diff --git a/user_manual.md b/user_manual.md index 83a4730..b2e67d3 100644 --- a/user_manual.md +++ b/user_manual.md @@ -55,60 +55,6 @@ 云主机2 -**1.5 云主机被挖矿解决方法:** - -​ **按以下步骤解决:** - -​ **1): top命令,查看cpu使用率很大的情况(top命令的第一列就是进程的pid)** - -top - -​ **2): 找到矿毒进程** - -grep - - - -​ **3): 杀死进程(两个)** - -kill - -​ - -​ **4): 删除Linux下的异常定时任务** - -​ **crontab -l //查看定时任务** - -​ **crontab -e //删除用户的定时任务** - -query - - - -​ **5): 删除文件,删除完后自己可以再检查一下是否还有kdevtmpfsi的相关文件,有的话就继续删除。** - -delete - -​ **6): 病毒会在你的主机密钥中加入他们的公钥,这是他们留了后门的钥匙,可以免密登录你的电脑** - -​ **vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥** - -key - -​ **7) 病毒成功删除** - -deleted - -​ **8) 保险起见** - -​ **如果CPU还是高速运转,只需重复第一步,因为它的威胁文件被删除了,如果还在跑我们就清理进程,就不会再有了。** - -​ **9)预防情况** - -​ **预防一:挖矿这种情况,是因为开了8088端口,现在把YARN上的配置文件里的8088端口修改成其它的端口,比如18088端口,然后把云主机的8088端口关闭掉,把18088端口打开就可以了。** - -​ **预防二: 设置复杂的密码,外网防火墙放行指定IP**。 -