Virus Kinsing chiếm dụng 100% CPU, làm cho website truy cập rất chậm hoặc không thể truy cập được. Gần đây rất nhiều VPS , Server bị loại malware này xâm nhập, gây ảnh hưởng nghiêm trọng và rất khó để loại bỏ. Trong bài viết này mình sẽ hướng dẫn các bạn khắc phục vấn đề này:
Trước hết để diệt được loại virus này thì ta phải hiểu cơ chế hoạt động của nó:
Virus khi xâm nhập vào VPS sẽ tạo ra các tiến trình kdevtmpfsi và kinsing chiếm dụng CPU và các file tương tự ở thư mục /tmp
Khi ta kill các tiến trình này đi, thì một lúc sau, nó lại tự sinh ra file và các tiến trình mới
=> Chúng ta sẽ viết một script tìm và diệt các tiến trình của malware và xoá các file tương ứng, đưa vào cronjob để chạy liên tục không cho malware có cơ hội hoạt động.
Bước 1: tạo file script
Mặc định mình đang là user root nhé, nếu bạn là user thường thì thêm sudo
nano /kill.shBước 2: Dán đoạn lệnh sau
!/bin/bash
kill $(pgrep kdevtmp)
kill $(pgrep kinsing)
find / -iname kdevtmpfsi -exec rm -fv {} \;
find / -iname kinsing -exec rm -fv {} \;
rm -rf /tmp/kdevtmp*
rm -rf /tmp/kinsing*Sau đó lưu lại.
Đoạn script này sẽ tìm kiếm và loại bỏ các tiến trình virus, sau đó sẽ xoá các file tương ứng
Thêm quyền thực thi
chmod +x /kill.shBước 3: Thêm vào cronjob
Mở cronjob
crontab -eThêm vào cuối file
* * * * * sh /kill.sh > /tmp/kill.log
Như trên là chạy 1 phút một lần, bạn có thể chỉnh thời gian tuỳ ý, lưu lại file cronjob là đã hoàn thành.
> /tmp/kill.log là để lưu lại lịch sử diệt
Chúc các bạn thành công!
Nhớ trích nguồn từ http://kienthucvps.com/ khi đăng lại bài viết này!
