加密采矿僵尸网路病毒还在蔓延！ kinsing kdevtmpf

Hadoop yarn 加密采矿僵尸网路病毒还在继续蔓延！

解决步骤

如果你同样遇到了kdevtmpfsi异常进程，占用了非常高的CPU和出网带宽，影响到了你的正常业务，建议使用以下步骤解决

1. 杀掉异常进程

   ps -ef|grep kdevtmpfsi(异常进程)
   
   kill -9 pid
   

2. 杀掉守护进程

   杀掉kdevtmpfsi进程后，随后进程还会重启，还要杀掉守护进程 kinsing

   ps -ef|grep kinsing
   
   kill -9 pid
   

3. 删除异常crontab任务

   当你杀掉守护进程，以为相安无事时，~额，还有个异常crontab，需要清掉。

   查看定时任务

   crontab -l
   

   我的是这个

   异常定时任务

   清掉定时任务

   crontab -r
   

   重要的说三遍！重要的说三遍！重要的说三遍

   如果你这是在root用户上查找异常定时任务无果，你需要使用执行异常进程的用户，比如，我的是yarn（还有可能是 docker/redis/k8s），切到此用户一定要排查掉!!! 。

   有些账户不支持切换，可用下面命令：

   sudo -u yarn crontab -l 
   sudo -u yarn crontab -r
   

   这部分是关键，不然会反复出现，然后，向其他关联宿主机蔓延。

4. 删除相关进程的异常文件

   一般会在这两个目录(/var/tmp 和 /tmp)下留下相关的执行脚本和相关文件，删除即可，最后再查找删除。

   rm -rf /var/tmp/kinsing
   rm -rf /tmp/kdevtmpfsi 
   

   还有可能是java、ppc、w.conf等文件一并删除。

怎么有效预防

1. 设置主机黑白名单，限制对8088等端口的访问

2. 如果没必要，尽量不要不端口、接口开放到公网上。

3. 升级到Hadoop 2.x 版本以上，并启用Kerberos认证，禁止匿名访问

4. 接入第三方安全产品

5. 对于redis服务进行安全加固，可参考

https://help.aliyun.com/knowledge_detail/37447.html

参考：

​ https://help.aliyun.com/knowledge_detail/37447.html

​ http://tolisec.com/yarn-botnet/

​ https://www.zdnet.com/article/docker-servers-targeted-by-new-kinsing-malware-campaign/

​ https://www.freebuf.com/vuls/173638.html

​ https://docs.cloudera.com/documentation/enterprise/6/6.3/topics/cm_sg_intro_kerb.html