CentOS8がkinsing（マルウェア）に感染してしまい直らない

前提・実現したいこと

CentOS8(さくらVPS)がkinsing（マルウェア）に感染してしまいました。
影響としてはサーバのCPUに物凄い不可をかける攻撃を受けています。
リンク内容
上記のサイトを参考にして、

①kinsingとkdevtmpfsiのプロセスを停止

[root@xx xx]# ps -ef|grep kinsing
postgres  5250     1  0 06:46 ?        00:00:03 /tmp/kinsing
root     15324 15238  0 16:11 pts/0    00:00:00 grep --color=auto kinsing
[root@xx xx]# kill 5250
[root@xx xx]# ps -ef|grep kdevtmpfsi
postgres  5402     1 99 06:47 ?        1-03:28:04 /tmp/kdevtmpfsi
root     15315 15238  0 16:11 pts/0    00:00:00 grep --color=auto kdevtmpfsi
[root@xx xx]# kill 5402

②/var/spool/cron
上記から「postgres」ファイル（ここにウイルスのcronが仕込まれている？）
を削除して「postgres」のディレクトリをroot権限で作成（こうするとpostgresファイルが作られなくなる）

③/tmp/からkdevtmpfsi、kinsingを削除

①〜③を対応することによって、一時的に直ってCPUへの攻撃も無くなるのですが、
数分後には①、③が復活してしまいます（②は「postgres」のディレクトリを作ることによって解消されました）

サーバのリセットはできれば避けたいです。
ご教示頂ければと思います。

補足情報（FW/ツールのバージョンなど）

CentOS Linux release 8.1.1911 (Core)

行動規範の内容に同意します

回答1件

ベストアンサー

回答

サーバのリセットはできれば避けたいです。

気持ちは分かりますが、対応及び予防策をTeratail上のやり取りでどうにかするのは分量的に不可能です。

新規にセキュアなサーバを立て、必要なデータを移行する事をお勧めします。

専門家に対策と予防策を依頼したら数十万円では確実に足りないくらい面倒な状態であることを認識する必要があります。

中途半端な対応の結果、表面上は解消した様に見えるが裏で悪さをされ続けてると言うのは良くある話です。

補足

現状されているの対応は、穴の空いた船から水を掻き出している様なものです。
どうしても(リセットしたら誰かが失踪しないといけないくらい重い理由があるとか)サーバ移行をしたくないのであれば、まずは穴を塞ぐ（どのようにしてマルウェアに感染したのかを明確にし、対応する)ところからスタートされるのが良いかと思いますよ。

投稿2021/01/02 09:38

編集2021/01/02 10:09