Berikut cara yang saya lakukan untuk menghentikan & mencegah malware kdevmtpsi dan kinsing:
- Stop semua kdevmtpsi & kinsing yang mungkin masih berjalan di background
sudo kill -9 $(pidof kdevtmpfsi) && sudo kill -9 $(pidof kinsing)
- Kita buat file yang biasa di buat malware ini, lalu kita buat immutable:
rm -f /tmp/kdevtmpfsi ; echo "ALL_GOOD_HERE" > /tmp/kdevtmpfsi
rm -f /var/tmp/kinsing ; echo "ALL_GOOD_HERE" > /var/tmp/kinsing && rm -f /tmp/kinsing ; echo "ALL_GOOD_HERE" > /tmp/kinsing
rm -f /tmp/zzz ; echo "ALL_GOOD_HERE" > /tmp/zzz
rm -f /tmp/zzz.sh ; echo "ALL_GOOD_HERE" > /tmp/zzz.sh
rm -f /var/spool/cron/crontabs/www-data; echo "#ALL_GOOD_HERE" > /var/spool/cron/crontabs/www-data
- Immutable file, biar ga bisa di ubah
chattr +i /tmp/kdevtmpfsi && chattr +i /tmp/kdev/tmpfsi && chattr +i /tmp/zzz && chattr +i /tmp/zzz.sh && chattr +i /var/spool/cron/crontabs/www-data
Audit port yang saat ini berlaku di server/container (rule firewall standar, block all allow some)
Hapus phpunit dari aplikasi, biasanya phpunit digunakan di laravel, prestashop, dan semua aplikasi berbasis php lain. Aman kok menghapus phpunit di production. Untuk referensi bisa di baca di ovh - cve 2017 9841 exploiting a breach in PHPUnit & thephp.cc - phpunit a security risk
Log Mencurigakan di phpunit
Kalau males atau terlalu berisiko untuk hapus phpunit, gunakan cara ini untuk block semua akses ke folder phpunit di web server, biasanya ada di folder /vendor/phpunit. Untuk config di Apache bisa menggunakan
# block phpunit, in case it accidentaly installed <Directory ~ "(/vendor/phpunit|vendor/bin/phpunit)"> Order Deny,allow Deny from all </Directory>Apabila di Nginx
# block phpunit, in case it accidentaly installed location ~ (/vendor/phpunit|/vendor/bin/phpunit) { return 404; }Audit log, cari log yang mencurigakan
Reserved, akan terus saya update apabila si malware masih bandel
Referensi: