前段时间，买了台阿里云ECS临时使用，下午装了web环境，第二天上午准备使用时，以外发现多了两个kdevtmpfsi进程，且cpu占用率100%，很纳闷一台新服务器怎么会多出这样的进程，于是百度一下，原来这是一种挖矿病毒。

黑客通过某些端口发起攻击，将kdevtmpfsi植入到服务器内，并且配置了定时任务，病毒文件删不掉，删掉后不久文件会重新出现，进程杀不死，通过pid干掉进城，仅几秒病毒又会出现。

我的服务器被植入是因为安装了redis，使用默认的6379端口，且连接redis无需密码，所以被轻松的攻击后变成了老母鸡，网上还有说docker的端口也会被攻击等。

我尝试了各种删文件、杀进程、修改用户等方法，均没有效果，所以我决定从根部彻底清除病毒。

首先找到文件的位置，然后在/etc/crontab任务中查找定时命令，注意不仅在etc目录下有定时任务，/var/spool/cron/目录中也会有。

准备工作就绪后，清定时任务、删文件、杀进程，要快速进行，然后再观察病毒进程是否再次启动，不过这些做完基本就清干净了。

实在清不掉的，还有planB，重置服务器。