Вредоносное ПО для майнинга криптовалют

tag-icon tag-icon malware
Вредоносное ПО для майнинга криптовалют

Я постоянно нахожу свой сервер с 100% загрузкой ЦП, и это двусмысленно названный процесс, который спрятан где-то в папке /etc/, запущенный под root (всегда в другой папке). В первый раз, когда я его нашел, я проверил его и подтвердил, что это майнер, убил процесс с помощью kill -9 PIDи удалил папку. Но я нашел его еще два раза и решил удалить его снова, а также изменить пароли для учетной записи, которую я использую для ssh на сервере, а также для root, но я только что нашел его снова.

Есть ли способ определить, как папка туда попала, ведь на моем сервере должно быть что-то, что периодически проверяет наличие этих файлов и, если не находит, загружает или извлекает их снова.

Майнер отправлял трафик на следующий адрес: ip162.ip-5-135-85.eu, который принадлежитhttps://aeon.miner.rocks/

Не могу вставить текст, так как я только что удалил содержимое, но у меня был снимок экрана, сделанный до этого.

решение1

Рассмотрите возможность переустановки сервера.

Проверьте следующие места:

  • crontab -l после использованияsudo -su
  • crontab -lс вашим администратором
  • содержание /etc/rc.localи/etc/apt/sources.list

  • каталоги

    /etc/systemd/system
/usr/lib/systemd/system
/lib/systemd/system

    для услуг, которые вы не знаете.

Вот они-то и будут главными виновниками.

aeon-stak-cpuzheck /bin/для aeon-stak-cpu.

Сделайте locate aeon. Это может открыть больше каталогов.

Однако я не могу найти вредоносное ПО. Aeon устанавливается из командной строки, поэтому я предполагаю, что кто-то подключен к вашей машине.

решение2

Наконец-то я докопался до сути.

Во-первых, у меня был запущен nginx от имени root, что, вероятно, было изначальной точкой входа. Clamscan нашел и пометил файл с именем info.php, скрытый в /var/www, что, вероятно, и было тем способом, которым они изначально получили доступ.

Я продолжал видеть ssh-процессы для root@notty, которые я не знал, что notty означает поначалу, и когда я посмотрел netstat, это определенно не был ни один из моих сеансов. Но я менял пароли на совершенно случайные, так что они не могли знать пароли. Я решил просмотреть все папки /home/[user]/.ssh моих пользователей и нашел тот же ключ ssh в файле authorized_keys.

Я удалил ключ, а также сменил пользователя для nginx, и с тех пор у меня не возникало проблем.

Связанный контент