Процесс kdevtmpfsi использует 100% CPU? Linux работает очень медленно? Хостер грозится отключить сервера? С такими симптомами, смело можно сказать, что у вас майнер вирус Kinsing. Разберемся в статье как его можно убрать.
ПРОБЛЕМА: Атаке подвержены сервера Ubuntu, Dabian, ReadHat, CentOS, Fedora. Процесс kdevtmpfsi, использует 100% процессора. При его удалении, он все равно перезапускается снова и снова.
Вредоносное ПО Kinsing нацелено на неправильно настроенные контейнеры Docker, на веб-сервера Apache, Nginx и особенно на экземпляры Redis (порт 6379). Вредоносная программа запускает в фоновом режиме процесс kdevtmpfsi, который занимает процессор и память сервера. Основная цель вируса — настроить майнер криптовалюты. Похоже, что атаки на контейнерную среду в последнее время участились. Ниже мы предлагаем решение этой проблемы.
Определите проблему:
Наличие root-доступа к серверу может помочь найти и удалить вредоносное ПО. Проверяем, запущен ли вредоносный процесс
Найти зараженные файлы:
find / -name kdevtmpfsi
find / -name kinsing
Если на вашем сервере завелся майниг вирус Kinsind, вы видите следующие процессы: kdevtmpfsi, kinsing или dbused, которые максимально используют все ресурсы процессора.
Правильное исправление:
Правильно настроенный сервер с обновленными зависимостями должен решить проблему.
Альтернативное решение:
Удалите лишние задачи cron и файлы /tmp/zzz.shkdevtmpfsi, найдите kinsing и удалите все папки, содержащие эти процессы. Теперь убейте процесс и перезапустите.
#kinsing #ubuntu #linux #kdevtmpfsi #процессор #вирус #вредоносноепо #вредоносное_по #майнинг #майнер #майнингвирус #антивирус #сервер #сервера #vps
Не ври, на линухе вирусов нет
Надеюсь переустановка ОС поможет же, да ?
Эта статья про Vps сервера, на которых чаще всего размещают сайты. Переустановка то поможет, но переносить сайт может быть оч долго и затратно.
Правильно настроенный сервер с обновленными зависимостями должен решить проблему.
Тема правильной настройки сервера не раскрыта
мой метод для временного решения проблемы.
С помощью ps -u username -o pid,cmd | grep kinsing можно узнать где находится запускаемый сервис.
Далее я увидел что сервис находится по адресу /tmp/kinsing . Я зашёл в эту папку но там не было файла kinsing тогда я просто добавил этот файл и дал права запуска этого файла только от рута , либо если он у вас от рута запускается то установите ему права 000 тогда никто не сможет запускать этот файл, решение костыльное конечно, но рабочее , не благодарите )
Я ошибся. Предыдущий способ не сработал. Вместо этого я добавил скрипт для удаления процесса и всех связанных с kinsing файлов в crontab, так работает.