kdevtmpfsi挖矿病毒中招与破解

一、背景

本人是一名程序员，主要负责后端开发，已经做了10多年程序员了。
本人有一台ECS服务器，在腾讯云上双11买的，2C4G + 5M带宽三年话费1000不到。
平时自己喜欢在上面搭建一些服务玩玩。

二、发现

• 有一天我在上面安装了hadoop玩，需要创建一个hadoop账号，并且给用户hadoop创建了一个简单的密码hadoop123（我真的是太懒了），同时开放了22端口的ssh服务（HDFS免密登录需要），第二天发现登录ECS机器异常卡顿，敲命令也延迟的厉害。直觉告诉我应该是我电脑的网络顿造成的（男人的直觉还真的不准）
• 这样过了两天，依然还是卡顿，我就开始怀疑可能不是网络的原因。于是开启了linux命令行的检查（骚操作）
• 执行top命令，然后ALT + P，发现有个进程名称为kdevtmpfsi，它占用了将近199%的CPU利用率，因为我是两核CPU，所以说明我的所有CPU计算资源都在执行这个该死的进程
• 执行kill -9命令，杀掉进程，世界终于清静了
• 然而好日子没有几分钟，系统又开始卡顿，top命令一看，我去，这个该死的进程kdevtmpfsi又来了，我意识到估计中招了（中毒）
• 登录腾讯云平台，发现是hadoop账号被破解了密码，这么简单的密码，被破解不意外，只是没想到互联网的环境真的是好恶劣。
  

三、清理病毒（一）

• 先来百度一下你就上当（知道），这里插一句，我之前对百度没有什么好感，不过最近使用百度搜索，明显感觉搜索质量比以前提升了好多，广告也少了很多。
• 搜索结果里有好多和我一样中招了的，并且附有杀毒策略，大体的清理病毒步骤如下：
  1）KILL掉kdevtmpfsi进程（第二部分已说明，不再详说）
  2）KILL掉kinsing进程（据说这个进程会监控kdevtmpfsi进程，如果kdevtmpfsi进程被kill了，还会被重新开启，这个就解释了为什么KILL掉kdevtmpfsi又会出来）
  3）清除kinsing文件，位置在/var/tmp/kinsing，这个是守护进程病毒的二进制文件，清理掉。
  4）清除kdevtmpfsi文件，位置在/tmp/kdevtmpfsi，这个是挖矿病毒的二进制文件，清理掉
• 清理掉后，感觉整个人都轻松了，命令敲起来也溜溜的，真想对病毒的创造者说，小小病毒可笑可笑。对于我们后台开发者来说，清理这种病毒就是手到擒来。