Как вылечить сервер и удалить вирус Kinsing

Недавно серверы посетил старый друг всех системных администраторов — вирус Kinsing. Сам вирус является майнером криптовалют. Злоумышленники используют неправильно сконфигурированный порт Docker API для запуска контейнера с вредоносным вредоносным ПО, которое, в свою очередь, запускает криптомайнер, а затем пытается распространить вредоносное ПО на другие контейнеры и хосты. Но у меня Kinsing был не в Docker а в системе. Предстояло убить его.

Я решил проблему с помощью списков блокировки Crowdsec и такого bash файла.
#!/bin/bash
kill $(pgrep kdevtmp)
kill $(pgrep kinsing)
find / -iname kdevtmpfsi -exec rm -fv {} \;
find / -iname kinsing -exec rm -fv {} \;
find / -iname tmpaiprbie0 -exec rm -fv {} \;
rm /tmp/kdevtmp*
rm /tmp/kinsing*
rm /tmp/tmpaiprbie0

В чем смысл файла? Мы убиваем текущие процессы майнера, затем находим все что относится к вирусу в системе, затем удаляем эту пакость. И под конец удаляем уже вирус из папки /tmp.

Мой файл называется kill.sh, поэтому для периодического поиска заразы я сделал такое задание cron с запуском каждую минуту.
* * * * * sh /root/kill.sh > /var/log/kill.log

Как и следует из строки, все сохраняется в файл kill.log. Его можно посмотреть:
cat /var/log/kill.log

Иногда пишет не в этот файл, а в /var/spool/mail/root — туда тоже смотрите.

Вот такой простой способ решения проблемы Kinsing'а, где-то он будет полумерами, но все же это лучше чем вообще ничего.
Поделиться:

Похожие публикации

Тут ничего нет

Нет комментариев