如何彻底清除kdevtmpfsir挖矿程序 ？

Question

首先说说我的处理过程：
第一步就是找到可耻的程序文件并且删掉

find / -name kdevtmpfsi
find / -name kinsing
rm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/diff/tmp/kdevtmpfsi
rm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/merged/tmp/kdevtmpfsi
rm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/diff/var/tmp/kinsing
rm -f /var/lib/docker/overlay2/587d73c3e9c50829c7842ba777d834e5bf3dca6897e98eba02b85eeb4e5d1eb6/merged/var/tmp/kinsing

第二步就是检查是否有可疑定时任务
cd到/var/spool/cron/目录, 发现没有任何定时任务。

[root@docker-server cron]# ll
total 0

第三步kill掉可耻的挖矿进程。

ps aux | grep kdevtmpfsi
kill -9 9053
ps aux | grep kinsing
kill -9 7587

嗯，经过以上步骤，cpu使用降下来了（原来常年100%），但是过几个小时又反弹了。所以问题还是没有解决。网上文章有说是redis感染的，但是我的服务器没用redis。这个挖矿木马是怎么感染的？如何彻底清除它？救救孩子吧

另通过find找到的木马文件路径有docker字样，是docker的原因吗？

Answer 1

就是docker redis 默认6379端口的问题