DaSE-Cloud/kdevtmpfsi挖矿病毒解决方案.md

云主机被kdevtmpfsi挖矿解决方法：

1. kdevtmpfsi预防情况：

   ​ 预防一：挖矿这种情况，是因为开了8088端口，现在把YARN上的配置文件里的8088端口修改成其它的端口，比如18088端口，然后把云主机的8088端口关闭掉，把18088端口打开就可以了。

   ​ 预防二： 设置复杂的密码，外网防火墙放行指定IP。

2. kdevtmpfsi出现时按以下步骤解决：

   ​ 1): top命令，查看cpu使用率很大的情况（top命令的第一列就是进程的pid）

   

   ​ 2): 找到矿毒进程

   

   ​ 3): 杀死进程(两个)

   

   ​

   ​ 4): 删除Linux下的异常定时任务

   ​ crontab -l //查看定时任务

   ​ crontab -e //删除用户的定时任务

   

   ​ 5): 删除文件，删除完后自己可以再检查一下是否还有kdevtmpfsi的相关文件，有的话就继续删除。

   

   6): 病毒会在你的主机密钥中加入他们的公钥，这是他们留了后门的钥匙，可以免密登录你的电脑

   ​ vim ~/.ssh/authorized_keys //打开文件后删除不认识的公钥

   

   7): 病毒成功删除

   

   8): 保险起见

   如果CPU还是高速运转，只需重复第一步，因为它的威胁文件被删除了，如果还在跑我们就清理进程，就不会再有了。