postgreSQL DB 강제 삭제 되는 현상 [kdevtmpfsi, kinsing]

오로지 제 관점에서 적었습니다.


도커 컨테이너에 postgreSQL 을 설치하여 관리를 하던 도중, postgreSQL 의 데이터 베이스가  강제 삭제되는 일이 있었다.

환경 셋팅을 처음하는 상황인지라,  모르는 것들이 굉장히 많았는데, 삭제될 이유가 없는데 원인 불명의 이유로 데이터 베이스가 계속해서 삭제되었다.

메모리 쪽을 확인하였는데 총 1GB 의 메모리중 550메가가 사용중이라는 상태를 보았다. 여기서 힌트를 얻었다.

내가 설치한 것들이 보통의 상태라면 300메가도 넘지 않아할 상태인데 무려 200메가 이상 튀고 있었다.

실행되고 프로레스를 확인해보니 도커안 /var/tmp 경로안에서 kdevtmpfsi, kinsing가 저장되어 실행되고 있었다. 

검색해보니 Kinsing, kdevtmpfsi 은 컨테이너 환경을 대상으로 한 멀웨어 (Malware) , 즉 바이러스 인 것이다.

 

pg_hba.conf  파일의 IPv4쪽을 설정해주지 않았기 때문에 그런 일이 발생한 것 같다.

pg_hba.conf를 아래와 같이 수정했다.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
host    all             all             회사 IP/32      md5

또한 ,  아래와 같이 kinsing과 kdevtmpfsi가 저장되어 있는 경로를 찾고 경로에 들어가 삭제했다.

find / -name 'kinsing'
find / -name 'kdevtmpfsi'

저장되어 있는 경로 진입 후, 

rm -rf kinsing
rm -rf kdevtmpfsi

그 후,  실행되고 있는 프로세스를 검색하고 프로세스를 종료시켰다.

ps aux

kill -9 (kinsing pid 번호)
kill -9 (kdevtmpfsi pid 번호)

 

마지막으로 디비 서버 재기동 해주니, 악성 코드는 더 이상 실행되지 않았다.