我的 Ubuntu 服务器被病毒 kdevtmpfsi 感染

做一个

chmod 000 /tmp/kdevtmpfsi

第一的。这将终止对该文件的访问

如果可能，如果不是您的用户，请从用户提示中：

sudo -u fabio
crontab -l 

否则你只需要这 2 个的最后一行。如果它在那里

crontab -e

编辑和删除该行。如果不是，crontab 存储在/var/spool/cron/crontabs/. 那里fabio会有。核爆这一切。

而且它不是病毒。它是您可能自己安装或作为某些软件的一部分安装的矿工。如果不考虑您的服务器已受到威胁，请格式化磁盘并恢复备份。如果您这样做了，请坚持使用常规和可信赖的来源。

编辑：发现更多关于这个。

也与此相关：

/tmp/zzz  

这似乎是引导文件。chmod 那一个，然后在你确认你杀死它或它自己杀死它之后对它进行核对。

chmod 删除权限，因此矿工无法重新创建文件，也无法写入或读取文件。有效地杀死它。然后开始寻找文件。Nuke /tmp/* /var/tmp/* 用于kinsing名称中的任何内容以及上面列出的文件。

尝试在 ONE 命令中执行删除，这样它就没有机会初始化自己。

github上关于如何删除它的有趣话题。

它已被记录在这里。众所周知，Redis 很容易被破解，除非您自己设置了体面的保护。

我的服务器通过 postgres 获得了这个比特币木马。就我而言，没有容器。上面的所有解释都匹配，但很明显脚本已经过改进，使检测和查杀更加困难。主要变化是 kdevtmpfsi 文件立即重命名为随机的 8 字符字符串，并且 kinsing 文件将在几秒钟内完成。在我避免重命名文件后，kdevtmpfsi 出现了顶级进程。在我将权限更改为 000 并将大小更改为 0 后，有人而不是病毒更改了文件名。此外，我确实删除了 crontab 条目，但它在 1 天后又回来了。

今天，当我再次登录时，我看到我删除的文件不见了，但是有符号链接，这表明有手动干预，不知何故具有 root 访问权限。所以我重复了这个过程并sudo再次更改了所有密码，它似乎没有消失。我仍然看到重复的 ssh root 尝试，但没有成功。

对于那些好奇的人，这里有一些我用来跟踪和禁用这个比特币木马的命令：

$ netstat -a -t|grep 'ssh'

$ ls -l /var /var/tmp|grep 'postgres'

$ sudo ps -u postgres|grep 'kdevtmpfsi'>ps.txt
$ echo -n "sudo kill -9 ">./tmp.sh
$ sudo cat psid.txt>>./tmp.sh
$ set +x tmp.sh
$ sudo rm /tmp/kdevtmpfsi

$ sudo crontab -u postgres -l
$ sudo crontab -u postgres -r

$ sudo curl http://195.3.146.118/pg.sh

$ sudo kill -9 ..

在某些情况下，这可能是由于在 Laravel 包（外观/点火）<= v8.4.2 中发现的安全漏洞。 CVE-2021-3129

这里有一篇文章解释了恶意软件的工作原理：Laravel <= v8.4.2 debug mode: Remote code execution (CVE-2021-3129)

如果我在您的位置，我会认为您的实例已受到损害并创建一个新实例。在我所做的测试中，恶意软件会改变位置并适应对系统所做的更改以试图阻止它。

RE：kinsing 和 kdevtmpfsi CPU 使用率和比特币挖掘

在我们的团队管理的系统中已经确定了一个额外的向量。

如果您也在使用 COMPOSER，请确保您拥有正确的版本：phpunit/phpunit

有一些版本被泄露： https ://packagist.org/packages/phpunit/phpunit

识别出的受损版本是：4.8.19 -> 4.8.27 AND 5.0.10 -> 5.6.2

composer 上 phpunit/phpunit 的更新确实修复了这个向量。

如果我们早点获得这些信息，这将节省大量时间。我希望这对其他人有帮助。

Kdevtmpfsi 是一种加密挖掘病毒。请每隔 1 分钟在 crond 服务内运行以下脚本，或者您可以根据您的服务器选择时间间隔。

#!/bin/bash
report=/var/log/incident.log
if [  -f "$report" ]
then
echo
else
touch $report
fi
chattr +i /tmp/kdevtmpfsi

fixing () {
rm -rfv /tmp/kdevtmpfsi*
touch /tmp/kdevtmpfsi
rm -rfv /tmp/cron*
kill -9 $((ps -aux | grep -i 'kdevtmpfsi\|kinsing') 2>/dev/null |grep -v grep |awk '{print $2}')
cat /var/spool/cron/zimbra |grep -i unk.sh && rm -rfv /var/spool/cron/zimbra
kin=$(ls /opt/zimbra/log/ |grep -i kinsing) && rm -rfv /opt/zimbra/log/${kin}
}
log () {
 echo  "$(date) by user:$(whoami) executed:<$0> virus:kdevtmpfsi action:>killed Pattern:spoofing Target:<CPU> host:$(hostname):<$(curl -s ident.me)>" >> $report
}
fixing
log

注意：此脚本运行日志将保存在 /var/log/incident.log

• 安装tmux
• 开始一个新的 tmux 会话tmux new -s kdevtmpfsi
• 创建一个新文件nano script.sh并在其中添加以下代码：

#!/bin/sh
# do what you need to here
while true; do
processId=$(ps -ef | grep ‘kdevtmpfsi’ | grep -v ‘grep’ | awk ‘{ printf $2 }’)
echo $processId
kill -9 $processId
echo “[“`date +%Y%m%d%H%M`”] kdevtmpfsi killed.”
sleep 2
done
exit 1

• 保存文件
• chmod +x script.sh
• 运行脚本./script.sh
• 退出 tmux

现在每两秒钟，这个加密矿工 BS 将无法做任何事情。

注意：这不是正确的解决方案imo，应该有一种方法可以完全摆脱它。我不能，因为即使是 root 用户也不允许删除/tmp/kdevtmpfsi

-r--r--r-- 1 root root 23 Aug 5 20:31 kdevtmpfsi

如果有人知道如何请帮忙。干杯