腾讯云之前发来过警告说服务器被攻击了，当时是在tmp目录下，有一个文件无法删除，chmod 777 修改文件都没有办法，还好那个时候没有安装什么东西，于是就重装了，最近跑了一个docker服务，发现每次都会无缘无故多出两个镜像，一个是ubuntu，一个是其他的，后来每次自己的镜像总会消失，并且CPU占用率就居然有90%。。 发现是一个kdevtmpfsi进程，通过Google发现是一个挖矿病毒。。

解决方案

1. 使用top命令，查看那个程序占用率CPU最高，一般是50%或者90%，接着使用kill -9 PID 杀掉这个进程，但是还会回来，是因为写了定时任务。
2. 接着使用find / -name kdevtmpfsi和find / -name kinsing，找到这些文件，并且删除，这里有一个坑的地方在于，可能根本删不掉，就算是root权限都不行，可以使用chattr工具。
3. crontab -l查看定时任务，如果这里有权限的话，就可以crontab -e把定时任务删除。

防护措施

主要原因还是因为对docker不熟悉，刚刚接触上手，这个病毒主要是通过扫描docker端口2375，可以在docker.service，把-H 0.0.0.0:2375改了，或者是在云服务器中的安全组里面关闭端口，同时修改ssh端口。