1、Top命令线程运行情况,找到kdevtmpfsi对应的进程ID
2、使用 kill -9 PID
3、过段时间再次被重启,说明有守护线程
systemctl status PID
查看其关联的守护进程,/tmp/kinsing /tmp/kdevtmpfsi删除
rm -rf /tmp/kinsing rm -rf /tmp/kdevtmpfsi
4、crontab -l 命令先看看 crontab 的定时任务列表
5、crontab -e 命令进行定时任务编辑(去除陌生的定时任务(要求在root用户下),在打开的文本中,按 i 进行编辑删除,编辑完后按【Esc退出】键退出编辑,再输入 :wq 强制性写入文件并退出
6、查看对应的PID并kill掉
ps -ef|grep kdevtmpfsi ps -ef|grep kinsing
kill -9 PID
7、find / -iname kdevtmpfsi 命令再次确定kdevtmpfsi文件所在位置以便删除,使用 rm -rf 所在位置 删除 kdevtmpfsi 程序
find / -iname kinsing 命令再次确定 kinsing 文件所在位置以便删除,使用 rm -rf 所在位置 删除 kinsing 程序
8、cat ~/.ssh/authorized_keys 查看是否有陌生的的公钥,有则删除掉
问题防护:
1)把异常的IP地址,入站及出站全部封禁
2)禁止使用默认端口,非必要不暴露在公网或绑定指定IP
3)启用ssh公钥登陆,禁用密码登陆。
4)完善安全策略,入口流量,非必要一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。
