Berikut cara yang saya lakukan untuk menghentikan & mencegah malware kdevmtpsi dan kinsing:
- Stop semua kdevmtpsi & kinsing yang mungkin masih berjalan di background
sudo kill -9 $(pidof kdevtmpfsi) && sudo kill -9 $(pidof kinsing)
- Kita buat file yang biasa di buat malware ini, lalu kita buat immutable:
rm -f /tmp/kdevtmpfsi ; echo "ALL_GOOD_HERE" > /tmp/kdevtmpfsi
rm -f /var/tmp/kinsing ; echo "ALL_GOOD_HERE" > /var/tmp/kinsing && rm -f /tmp/kinsing ; echo "ALL_GOOD_HERE" > /tmp/kinsing
rm -f /tmp/zzz ; echo "ALL_GOOD_HERE" > /tmp/zzz
rm -f /tmp/zzz.sh ; echo "ALL_GOOD_HERE" > /tmp/zzz.sh
rm -f /var/spool/cron/crontabs/www-data; echo "#ALL_GOOD_HERE" > /var/spool/cron/crontabs/www-data
- Immutable file, biar ga bisa di ubah
chattr +i /tmp/kdevtmpfsi && chattr +i /tmp/kdev/tmpfsi && chattr +i /tmp/zzz && chattr +i /tmp/zzz.sh && chattr +i /var/spool/cron/crontabs/www-data
-
Audit port yang saat ini berlaku di server/container (rule firewall standar, block all allow some)
-
Hapus phpunit dari aplikasi, biasanya phpunit digunakan di laravel, prestashop, dan semua aplikasi berbasis php lain. Aman kok menghapus phpunit di production. Untuk referensi bisa di baca di ovh - cve 2017 9841 exploiting a breach in PHPUnit & thephp.cc - phpunit a security risk
Log Mencurigakan di phpunit
-
Kalau males atau terlalu berisiko untuk hapus phpunit, gunakan cara ini untuk block semua akses ke folder phpunit di web server, biasanya ada di folder /vendor/phpunit. Untuk config di Apache bisa menggunakan
# block phpunit, in case it accidentaly installed <Directory ~ "(/vendor/phpunit|vendor/bin/phpunit)"> Order Deny,allow Deny from all </Directory>Apabila di Nginx
# block phpunit, in case it accidentaly installed location ~ (/vendor/phpunit|/vendor/bin/phpunit) { return 404; } -
Audit log, cari log yang mencurigakan
-
Reserved, akan terus saya update apabila si malware masih bandel
Referensi: