100% нагрузка процессора(ЦП). Ubuntu. Linux. Вредоносное ПО Kinsing (kdevtmpfsi) – как убить?

Процесс kdevtmpfsi использует 100% CPU? Linux работает очень медленно? Хостер грозится отключить сервера? С такими симптомами, смело можно сказать, что у вас майнер вирус Kinsing. Разберемся в статье как его можно убрать.

100% нагрузка процессора(ЦП). Ubuntu. Linux. Вредоносное ПО Kinsing (kdevtmpfsi) – как убить?

ПРОБЛЕМА: Атаке подвержены сервера Ubuntu, Dabian, ReadHat, CentOS, Fedora. Процесс kdevtmpfsi, использует 100% процессора. При его удалении, он все равно перезапускается снова и снова.

Вредоносное ПО Kinsing нацелено на неправильно настроенные контейнеры Docker, на веб-сервера Apache, Nginx и особенно на экземпляры Redis (порт 6379). Вредоносная программа запускает в фоновом режиме процесс kdevtmpfsi, который занимает процессор и память сервера. Основная цель вируса — настроить майнер криптовалюты. Похоже, что атаки на контейнерную среду в последнее время участились. Ниже мы предлагаем решение этой проблемы.

Определите проблему:

Наличие root-доступа к серверу может помочь найти и удалить вредоносное ПО. Проверяем, запущен ли вредоносный процесс

Найти зараженные файлы:

find / -name kdevtmpfsi
find / -name kinsing

Если на вашем сервере завелся майниг вирус Kinsind, вы видите следующие процессы: kdevtmpfsi, kinsing или dbused, которые максимально используют все ресурсы процессора.

Как выглядит процесс
Как выглядит процесс

Правильное исправление:

Правильно настроенный сервер с обновленными зависимостями должен решить проблему.

Альтернативное решение:

Удалите лишние задачи cron и файлы /tmp/zzz.shkdevtmpfsi, найдите kinsing и удалите все папки, содержащие эти процессы. Теперь убейте процесс и перезапустите.

1111
6 комментариев

Не ври, на линухе вирусов нет

1

Надеюсь переустановка ОС поможет же, да ?

Эта статья про Vps сервера, на которых чаще всего размещают сайты. Переустановка то поможет, но переносить сайт может быть оч долго и затратно.

Правильное исправление:Правильно настроенный сервер с обновленными зависимостями должен решить проблему.

Тема правильной настройки сервера не раскрыта

мой метод для временного решения проблемы.
С помощью ps -u username -o pid,cmd | grep kinsing можно узнать где находится запускаемый сервис.
Далее я увидел что сервис находится по адресу /tmp/kinsing . Я зашёл в эту папку но там не было файла kinsing тогда я просто добавил этот файл и дал права запуска этого файла только от рута , либо если он у вас от рута запускается то установите ему права 000 тогда никто не сможет запускать этот файл, решение костыльное конечно, но рабочее , не благодарите )

Я ошибся. Предыдущий способ не сработал. Вместо этого я добавил скрипт для удаления процесса и всех связанных с kinsing файлов в crontab, так работает.