Malware cripto minero

Question 1

Considere reinstalar el servidor.

Consulta los siguientes lugares:

crontab -l después de usarsudo -su
crontab -lcon tu usuario administrador
contenidos de /etc/rc.localy/etc/apt/sources.list

los directorios

/etc/systemd/system
/usr/lib/systemd/system
/lib/systemd/system

para servicios que no reconoce.

Esos serán los principales culpables.

aeon-stak-cpuzheck /bin/para un archivo aeon-stak-cpu.

Haz un locate aeon. Eso podría hacer aparecer más directorios.

Aunque no puedo encontrar ningún malware. aeon se instala desde la línea de comando, por lo que espero que alguien tenga una conexión a su máquina.

Answer

Considere reinstalar el servidor.

Consulta los siguientes lugares:

crontab -l después de usarsudo -su
crontab -lcon tu usuario administrador
contenidos de /etc/rc.localy/etc/apt/sources.list

los directorios

/etc/systemd/system
/usr/lib/systemd/system
/lib/systemd/system

para servicios que no reconoce.

Esos serán los principales culpables.

aeon-stak-cpuzheck /bin/para un archivo aeon-stak-cpu.

Haz un locate aeon. Eso podría hacer aparecer más directorios.

Aunque no puedo encontrar ningún malware. aeon se instala desde la línea de comando, por lo que espero que alguien tenga una conexión a su máquina.

Question 2

Así que finalmente llegué al fondo del asunto.

En primer lugar, tenía nginx ejecutándose como root, que probablemente era el punto de entrada original. Clamscan había encontrado y marcado un archivo llamado info.php oculto en /var/www, que probablemente fue la forma en que obtuvieron acceso al principio.

Seguí viendo procesos ssh para root@notty, lo cual al principio no sabía lo que significaba notty, y cuando miré netstat definitivamente no era ninguna de mis sesiones. Pero he estado cambiando las contraseñas por otras completamente aleatorias, por lo que no puede ser que las conocieran. Decidí mirar todas las carpetas /home/[usuario]/.ssh de mi usuario y encontré la misma clave ssh en el archivo autorizado_keys.

Eliminé la clave y también cambié el usuario de nginx y no he tenido problemas desde entonces.

Answer

Así que finalmente llegué al fondo del asunto.

En primer lugar, tenía nginx ejecutándose como root, que probablemente era el punto de entrada original. Clamscan había encontrado y marcado un archivo llamado info.php oculto en /var/www, que probablemente fue la forma en que obtuvieron acceso al principio.

Seguí viendo procesos ssh para root@notty, lo cual al principio no sabía lo que significaba notty, y cuando miré netstat definitivamente no era ninguna de mis sesiones. Pero he estado cambiando las contraseñas por otras completamente aleatorias, por lo que no puede ser que las conocieran. Decidí mirar todas las carpetas /home/[usuario]/.ssh de mi usuario y encontré la misma clave ssh en el archivo autorizado_keys.

Eliminé la clave y también cambié el usuario de nginx y no he tenido problemas desde entonces.

Malware cripto minero

Respuesta1

Respuesta2

información relacionada