docker镜像中存在kdevtmpfsi挖矿程序解决方法

昨天将服务器PHP环境切到docker后，今早就收到服务商信息提示，服务器发现病毒文件，今早直接登陆服务器查看，发现CPU占用100%，查看占用最高的进程是kdevtmpfsi，网上搜索了下，好家伙，原来是挖矿程序，下面分享如何解决该病毒。

我们先输入以下命令查看病毒文件地址

find / -name "kdevtmpfsi"
find / -name "kinsing"

根据服务商提醒病毒文件所在地址为/tmp/kdevtmpfsi，但是我在服务器并没有查到该文件，然后联想到昨天刚好加了一个PHP容器，怀疑是不是病毒文件被植入到容器里，然后输出以下命令查看

docker stats

发现PHP容器占用CPU资源一直100%，确定是PHP容器被植入挖矿脚本，进入到容器里，发现果然存在/tmp/kdevtmpfsi文件，所以决定删除容器，重新构建镜像，重新拉取容器，同时我们输入以下命令

find / -name kdevtmpfsi

查看宿主机是否存在病毒文件，搜索得到以下结果

/var/lib/docker/overlay2/6fd30d3dc2b89a20a8c78d3ae2739cadc9083c48cb8505c1a0646dddf96b3f07/diff/tmp/kdevtmpfsi
/var/lib/docker/overlay2/6fd30d3dc2b89a20a8c78d3ae2739cadc9083c48cb8505c1a0646dddf96b3f07/merged/tmp/kdevtmpfsi

我们直接使用rm命令删除这两份文件，然后为了防止再次被植入挖坑，建议关闭9000端口，不要将9000端口暴露外网，服务器内部可以使用内网ip进行连接php，重新查看服务器CPU占用，发现恢复正常，这样就成功将挖坑程序移除。 

【图】来源于网络

【文】https://hongzx.cn/home/blogShow/239

Follow

佛布朗斯基博客

(佛布朗斯基)我是一只热爱编程的码农，已从事后端开发5年以上，也正因此，在日常工作学习中，会遇到蛮多问题需要解决，我希望透过记录，真实地将问题以及解决方法保存下来，更为高效地解决问题是我的初衷。