Mi servidor Ubuntu fue infectado con un gusano minero:https://medium.com/@Alibaba_Cloud/8220-mining-group-now-uses-rootkit-to-hide-its-miners-15d6c571cdb3
El cual procedí a limpiar siguiendo los lineamientos aquí mencionados: https://www.domoticz.com/forum/viewtopic.php?t=28329#p217121
Eso solucionó la mayor parte, pero todavía hay un proceso en mi "top -c", que consume muchos recursos de CPU.
Hice "ps -p", encontré el nombre del proceso, eliminé el ejecutable del directorio /tmp y eliminé el proceso.
Sin embargo, unos segundos más tarde aparece otro proceso en su lugar con un nombre diferente y un ejecutable diferente en la carpeta /tmp. Comenzó con ib_addr, luego vxfs, luego algo más, y ahora son solo números aleatorios como "1521626697".
¿Cómo me deshago de este gusano?
Respuesta1
¿Honestamente? Haga una copia de seguridad del sistema: descargue todas las bases de datos, descargue una lista de paquetes y realice rsync sobre cualquier cosa importante. Apague el sistema; no puede sertotalmenteAsegúrese de que el sistema esté limpio.
Básicamente, un rootkit está diseñado para modificar archivos del sistema y nunca se puede estar seguro de que se encuentra en un sistema en ejecución.
Ejecute un escaneo AV en los archivos que sincronizó: ustedvoluntadencuentre algunas cosas que se hayan detectado y que le den una idea clara de lo que está mal.
Reinstalaruna copia nueva de ubuntu. Desactive los inicios de sesión raíz SSH, configure las cosas para que puedasoloRealice una autenticación basada en claves y, opcionalmente, configure algo como fail2ban.
Reinstale su software, restaure las bases de datos, etc.
Es decir, la única forma segura de deshacerse de un gusano es bombardear el sistema desde la órbita.