Мой сервер Ubuntu был заражен червем-майнером:https://medium.com/@Alibaba_Cloud/8220-mining-group-now-uses-rootkit-to-hide-its-miners-15d6c571cdb3
Который я приступил к очистке, следуя рекомендациям, указанным здесь: https://www.domoticz.com/forum/viewtopic.php?t=28329#p217121
Это решило большую часть проблемы, но на моем «top -c» все еще висит процесс, потребляющий много ресурсов ЦП.
Я выполнил команду «ps -p», нашел имя процесса, удалил исполняемый файл из каталога /tmp и завершил процесс.
Однако через несколько секунд на его месте появляется другой процесс с другим именем и другим исполняемым файлом в папке /tmp. Он начинался с ib_addr, потом vxfs, потом что-то еще, а теперь это просто случайные числа вроде "1521626697".
Как избавиться от этого червя?
решение1
Честно? Сделайте резервную копию системы - дамп всех баз данных, дамп списка пакетов и rsync поверх всего важного. Выключите систему - вы не можете бытьполностьюубедитесь, что система чистая.
По сути, руткит предназначен для изменения системных файлов, и вы никогда не можете быть уверены, что он присутствует в работающей системе.
Запустите антивирусное сканирование файлов, которые вы синхронизировали с помощью rsync.волянайдите что-нибудь, что было собрано, и это должно дать вам четкое представление о том, что не так.
Переустановитьсвежая копия ubuntu. Отключите входы root по SSH, настройте все так, чтобы вы моглитольковыполните аутентификацию на основе ключей и при желании настройте что-то вроде fail2ban.
Переустановите программное обеспечение, восстановите базы данных и т. д.
То есть единственный верный способ избавиться от червя — это сбросить ядерную бомбу на систему с орбиты.