質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Q&A

解決済

1回答

4195閲覧

CentOS8がkinsing(マルウェア)に感染してしまい直らない

takahiro00

総合スコア84

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

0グッド

2クリップ

投稿2021/01/02 07:44

前提・実現したいこと

CentOS8(さくらVPS)がkinsing(マルウェア)に感染してしまいました。
影響としてはサーバのCPUに物凄い不可をかける攻撃を受けています。
リンク内容
上記のサイトを参考にして、

①kinsingとkdevtmpfsiのプロセスを停止

[root@xx xx]# ps -ef|grep kinsing postgres 5250 1 0 06:46 ? 00:00:03 /tmp/kinsing root 15324 15238 0 16:11 pts/0 00:00:00 grep --color=auto kinsing [root@xx xx]# kill 5250 [root@xx xx]# ps -ef|grep kdevtmpfsi postgres 5402 1 99 06:47 ? 1-03:28:04 /tmp/kdevtmpfsi root 15315 15238 0 16:11 pts/0 00:00:00 grep --color=auto kdevtmpfsi [root@xx xx]# kill 5402

②/var/spool/cron
上記から「postgres」ファイル(ここにウイルスのcronが仕込まれている?)
を削除して「postgres」のディレクトリをroot権限で作成(こうするとpostgresファイルが作られなくなる)

③/tmp/からkdevtmpfsi、kinsingを削除

①〜③を対応することによって、一時的に直ってCPUへの攻撃も無くなるのですが、
数分後には①、③が復活してしまいます(②は「postgres」のディレクトリを作ることによって解消されました)

サーバのリセットはできれば避けたいです。
ご教示頂ければと思います。

補足情報(FW/ツールのバージョンなど)

CentOS Linux release 8.1.1911 (Core)

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

回答

サーバのリセットはできれば避けたいです。

気持ちは分かりますが、対応及び予防策をTeratail上のやり取りでどうにかするのは分量的に不可能です。

新規にセキュアなサーバを立て、必要なデータを移行する事をお勧めします。

専門家に対策と予防策を依頼したら数十万円では確実に足りないくらい面倒な状態であることを認識する必要があります。

中途半端な対応の結果、表面上は解消した様に見えるが裏で悪さをされ続けてると言うのは良くある話です。

補足

現状されているの対応は、穴の空いた船から水を掻き出している様なものです。
どうしても(リセットしたら誰かが失踪しないといけないくらい重い理由があるとか)サーバ移行をしたくないのであれば、まずは穴を塞ぐ(どのようにしてマルウェアに感染したのかを明確にし、対応する)ところからスタートされるのが良いかと思いますよ。

投稿2021/01/02 09:38

編集2021/01/02 10:09
tanat

総合スコア18727

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hentaiman

2021/01/02 09:59

補足に書かれている対応で済ます人って実際にいるんですか?
tanat

2021/01/02 10:07

私なら確実にやりませんし、 感染経路が分からない→リセットに踏み切る を期待した記述ではありますが、ググってみた限りだとそれなりの数の人がそう言う対応をしていてもおかしくは無いと思います。 リスクとコストの判断基準は人それぞれなので。
tanat

2021/01/02 10:10

とは言え、若干無責任な感じの補足だったので少し追記しました
hentaiman

2021/01/02 10:19

> 私なら確実にやりませんし、 > 感染経路が分からない→リセットに踏み切る > を期待した記述ではありますが 納得しました。 過去の業務でそういう対応をする事があった(またはした人をみた)のかと思いました。
takahiro00

2021/01/03 15:03

ご回答ありがとうございます。 OS再インストールします。
kyoya0819

2021/01/04 10:35

OS再インストールしたところで、一回攻撃成功しているということは今後も同様の攻撃を受ける可能性が十二分にあるので「なぜ」感染したのかを特定することをお勧めします。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問