是什么卡了我的服務(wù)器？

一早起來服務(wù)器崩了，網(wǎng)頁打不開。離譜。

遠(yuǎn)程ssh登錄，終端輸入：

top

，看到：kdevtmpfsi 這個進(jìn)程占了兩個核，好家伙。

kill?kdevtmpfsi

一秒之后發(fā)現(xiàn)重啟了，有趣

病毒尋找

首先 systemctl status?kdevtmpfsi 發(fā)現(xiàn)了是kinsing這個進(jìn)程喚醒了它。

我們需要這樣做：

（1）刪掉 kdevtmpfsi 和kinsing 對應(yīng)文件。

（2）刪掉它們對應(yīng)的「定時任務(wù)」

找的時候發(fā)現(xiàn)，原來是挖的 c3pool 和 moneroocean 。百度一下發(fā)現(xiàn)是兩個礦哦，離譜。。

https://my.oschina.net/u/4437985/blog/3168526

find?/ -name?"*miner*"

find?/ -name?"*c3pool*"

https://segmentfault.com/a/1190000038390745

找到刪掉。

存在定時任務(wù)的不一定是當(dāng)前用戶，可以使用以下命令查找其他用戶是否存在任務(wù)：

定時任務(wù)還可能存在于以下地方：

找到刪掉。

之后重新： kill kinsing ?kill?kdevtmpfsi 不重啟了，ok。

服務(wù)器查看ssh登錄歷史

https://blog.csdn.net/weixin_30475039/article/details/99331708

終端輸入：

cd /var/log

less secure

這里用:G 來跳到最后，之后用 /Invalid user 搜索發(fā)現(xiàn)了一堆登錄不成功的?；恚瑧?yīng)該是服務(wù)器地址被人發(fā)現(xiàn)了之后拿公開庫撞了。離譜。

后續(xù)：

ssh公鑰登錄，直接禁用密碼登錄。