云服务器中挖矿病毒的清除过程（二）

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为
-bash，按c查看详情，名称显示为python
十分可疑
杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了
查看/etc/cronhourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

crondaily cronweekly cronmonthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除

删除/opt/new目录时，发现此目录下还有一个/opt/md目录，内容如下
病毒运行原理是

其他常用的诊断命令

关联文章：
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复

参考文章：
PC样本分析记录最近与挖矿病毒的斗智斗勇
PC样本分析记录最近与挖矿病毒的斗智斗勇(二)

蔚来员工用公司服务器挖矿，已经供认不讳了，这个员工的行为已经触犯了刑法里面的非法控制计算机信息系统罪。犯了这项罪名的，可能会处三年以下有期徒刑或者是拘役，并处或者是单处罚金。情节特别严重的处三年以上7年以下有期徒刑并处罚金。

不管是在哪个行业里面，好像都有一些不大好的员工存在，他们会利用自己的职务之便去满足自己的一些小心思，如果给公司大了的影响不大，可能还好一点。蔚来员工用公司的服务器去挖矿，这是小看意想不到的，所以说每个行业里面应该都存在着漏洞。现在这批员工已经供认不讳了，他后期可能会被处三年以下有期徒刑或者是拘役，并处或者是单处罚金。情节如果特别严重的，还会处三年以上7年以下有期徒刑并处罚金，就是不知道这名员工的行为，属于情节一般还是属于情节严重。

只要是做了这样的事情，获利的钱都需要被全部没收，而且还可能会被罚款。这名员工他从2021年2月的时候就已经开始了这样的违规 *** 作，利用公司的服务器资源进行虚拟货币数字挖掘 *** 作。要说这个人聪明吧，他也聪明，你要说他不聪明吧，他在做违法的事情。别人都说这个人的胆子也太大了吧，不知道他到底是不懂法还是存在着侥幸心理，小编觉得他应该属于后者。

希望大家都不要抱有侥幸心理，不要让自己的日子过得越来越有判头。我们在那个工作岗位上面就需要做哪一份工作，做自己分内的工作，而不是超出范围之外。更不要利用自己的职务之便，去谋取不当之财。否则等待你们的就是一双银手镯，而不是其它的东西。

前几天突然发现公司服务器很卡，CPU经常飙到200%；网站服务被自动停止，甚至服务器崩溃；于是进行排查，发现一个名为：kdevtmpfs的进程占用了180%多的CPU，吓了一跳，于是赶紧排查问题：首先查到这个进程并不少我们服务器用到的进程，于是在网上查找这个问题，发现很多人都遇到过，于是根据网上的一个教程开始清理：

1、删除掉/tmp文件下的kdevtmpfs文件；删除掉kdevtmpfs对应的进程，清理掉定时任务；（无效，几分钟后依然会自动重启，自动在定时任务新增定时任务）（ >