
Merhaba,
Merhaba,
Geçtiğimiz günlerde dünya çapında bir CyberPanel saldırısı gerçekleşti ve on binlerce sunucu etkilendi. İlk andan itibaren, müşterilerimizin verilerini kurtarmak için yoğun bir çalışma yürüttük. Topluluk bildirimlerini inceledik ve virüsü aşağıdaki adımlarla başarıyla silebildik:
Adım 1: Şüpheli İşlemleri Durdurun
Öncelikle, kötü amaçlı yazılım ile ilgili tüm işlemleri duraklatın veya durdurun.
İşlem listesini görüntüleyin:
ps aux | grep -E 'kinsing|udiskssd|kdevtmpfsi|bash2'
Sonra, kdevtmpfsi
işleminin durumunu kontrol ettik:
systemctl status <PID>
Dosya çağırma yollarını kopyalayın ve bir sonraki adımda silin.
Kötü amaçlı yazılım işlemini durdurun:
sudo kill -9 <PID>
(<PID>
yerine kinsing
veya diğer şüpheli işlemlerin kimliğini koyun.)
Adım 2: Şüpheli Servisi Kaldırınbot.service
adlı hizmeti kontrol edin ve kaldırın:
sudo systemctl stop bot.service
sudo systemctl disable bot.service
sudo rm /lib/systemd/system/bot.service
sudo systemctl daemon-reload
Adım 3: Kötü Amaçlı Yazılım Dosyalarını Silin
Sistemdeki kötü amaçlı yazılım dosyalarını, örneğin /etc/data/kinsing
ve /tmp/kdevtmpfsi
gibi dosyaları kaldırın.
sudo rm -f /etc/data/kinsing
sudo rm -f /etc/kinsing
sudo rm -f /tmp/kdevtmpfsi
Adım 4: Şüpheli Cron İşlerini Silin
Kötü amaçlı yazılım, kendini otomatik olarak yeniden başlatmak için crontab’a görevler ekler. Şüpheli crontab girdilerini kaldırmak için:
crontab’ını açın:
sudo crontab -e
Bilinmeyen veya şüpheli satırları silin.
8090 ve 22 portunu dışarıya kapatın, cyberpaneli update edin ve işlem bu kadar
Emin olabilmek adına 3 farklı antivürüs yazılımıylada sistemleri gözden geçirdik bir bulguya rastlamadık.
