Linux服务器kdevtmpfsi挖矿病毒解决方法：治标+治本

问题描述

1. Linux服务器（包括但不限于CentOS）出现名为kdevtmpfsi的进程，占用高额的CPU、内存资源；
2. 并且单纯的kill -9 进程ID 例：kill -9 23455无法完全杀死，不久便会复活；
3. 同2.理杀死 kdevtmpfsi的守护进程kinsing，一小段时间又会出现这对进程；
4. 找到并删除这2个进程对应的可执行文件例：find / -name kinsing，一小段时间又会出现。

问题根源

1. 服务器安装的redis镜像有问题，被植入kdevtmpfsi挖矿程序。
2. redis未设置密码、或者密码过于简单
3. 服务器被植入定时任务：下载病毒程序、并唤起，及进程存活监测

1.治本方法

1. 更换redis镜像
2. redis设置安全性高的密码
3. 检查定时任务crontab -l，如有必要cat or vim 进入脚本，确认自家脚本没有串改
4. 没有用到的端口，不要开放
5. 可不做查出外部植入的定时程序，访问哪个ip下载病毒程序，将其拉黑

2.治标方法、稳定有效

1. 编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh；

ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 
ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 
rm -f /var/tmp/kinsing
rm -f /tmp/kdevtmpfsi

2. 新增定时任务；
   */1 * * * * /tmp/kill_kdevtmpfsi.sh
3. top -d 5观察，解决

btw:顺便做一下【治本方法的2.3.4.】。
基本这两病毒进程一唤起，没开挖，就被杀掉，不会占用CPU资源
虽然有效，但毕竟治标，不影响公司业务的时候还是用治本的方案

ok,done~