킨싱(Kinsing)은 암호화폐를 채굴할 목적으로 리눅스 환경을 노리는 멀웨어이다.
# top로 CPU에 부하를 주는 프로세스를 찾을 수 있다.
kdevtmpfsi 라는 프로세스를 확인할 수 있다.
이 프로세스를 kill 명령어로 죽여도 다시 실행되는 것을 볼 수 있다.
제거하는 방법
1. /tmp 디렉터리의 현재 권한을 확인하고 실행권한을 제거한다.
사안이 긴급하니 읽기 권한만 부여한다. 향후 쓰기권한 필요 시 수정 바람
# chmod 0444 /tmp
2. 크론탭에 등록되어 있는 프로세스 재실행 스케줄러 제거
# crontab -l 또는 /etc/crontab 파일에서 직접 확인 및 수정 가능
0 0 */3 * * /tmp/.X2ct-unix/.rsync/c/aptitude>/dev/null 2>&1
위의 프로세스 보면 /tmp 디렉터리 밑에 숨김폴더를 생성하고 그 안에 실행파일을 실행하고 있다.
=> 이러한 이유로 /tmp 디렉터리에는 실행 권한을 부여하지 않으면 사전 예방을 할 수 있다.
# chmod 0444 /tmp => 0444로 읽기 권한만 주거나, 0666으로 읽기, 쓰기 권한만 부여할 수 있다.
3. 크론탭 설정 수정 후에는 크론 데몬을 재시작해준다.
# service crond restart
4. 멀웨어 디렉터리와 멀웨어를 삭제한다.
# rm -rf /tmp/.X2ct-unix/
# rm -rf /tmp/kdevtmpfsi
삭제가 안될 경우 chattr -i 로 속성을 변경하고 삭제
# chattr -i /tmp/.X2ct-unix/
# chattr -i /tmp/kdevtmpfsi
만약 chattr의 바이너리 파일이 멀웨어에 의해 손상되었다면
동일 버전의 다른 리눅스 서버에서 chattr를 복사해서 사용하면 된다.
5. 남아있는 멀웨어 파일은 없는지 확인해본다.
# find / -iname kdevtmpfsi
# find / -iname kinsing
검색되는 파일들이 남아있다면 추가적으로 삭제해준다.
'공부 > IT' 카테고리의 다른 글
| [리눅스, CentOS 7] 네트워크 설정, ifconfig 사용하기, hostname 변경하기 (0) | 2016.07.04 |
|---|---|
| [HP-UX] Date 명령어로 시간 변경 (0) | 2016.03.28 |
| [리눅스, CentOS6.5] 네트워크 설정(IP설정, 라우팅 설정) (0) | 2015.05.27 |
| 삼성 노트북 USB 부팅 안될 때.. (1) | 2015.02.01 |
| FTP(File Transfer Protocol)란? (0) | 2015.01.16 |