Meu servidor Ubuntu foi infectado por um worm mineiro:https://medium.com/@Alibaba_Cloud/8220-mining-group-now-uses-rootkit-to-hide-its-miners-15d6c571cdb3
Que comecei a limpar seguindo as orientações mencionadas aqui: https://www.domoticz.com/forum/viewtopic.php?t=28329#p217121
Isso resolveu a maior parte, mas ainda há um processo parado no meu "top -c", consumindo muitos recursos da CPU.
Eu fiz "ps -p", encontrei o nome do processo, removi o executável do diretório /tmp e eliminei o processo.
No entanto, outro processo aparece em seu lugar alguns segundos depois com um nome diferente e um executável diferente na pasta /tmp. Tudo começou com ib_addr, depois vxfs, depois outra coisa, e agora são apenas números aleatórios como "1521626697".
Como faço para me livrar desse verme?
Responder1
Honestamente? Faça backup do sistema - despeje todos os bancos de dados, despeje uma lista de pacotes e faça rsync sobre qualquer coisa importante. Desligue o sistema - você não pode sertotalmentecertifique-se de que o sistema esteja limpo.
Um rootkit é essencialmente projetado para modificar arquivos do sistema e você nunca pode ter certeza de que ele foi instalado em um sistema em execução.
Execute uma verificação AV nos arquivos que você sincronizou novamente - vocêvaiencontre algumas coisas que foram detectadas e que devem lhe dar uma ideia clara do que está errado.
Reinstaleuma nova cópia do Ubuntu. Desative os logins root SSH, configure as coisas para que você possaapenasfaça autenticação baseada em chave e, opcionalmente, configure algo como fail2ban.
Reinstale o software, restaure os bancos de dados e assim por diante.
Isso quer dizer que a única maneira segura de se livrar de um verme é tirar o sistema da órbita.