>

지난 몇 주 동안 우분투 테스트 서버에서 이상한 활동이있었습니다. htop에서 아래 스크린 샷을 확인하십시오. 이 이상한 서비스 (암호화 마이닝 서비스처럼 보이는)는 매일 실행 중이며 CPU의 100 %를 차지합니다.

ssh 키를 통해서만 서버에 액세스 할 수 있으며 비밀번호 로그인이 비활성화되었습니다. 이 이름의 파일을 찾으려고했지만 찾을 수 없습니다.

아래 문제를 도와 주시겠습니까?

  • 프로세스 ID에서 프로세스 위치를 찾는 방법
  • 완전히 제거하려면 어떻게합니까?
  • 이것이 어떻게 내 서버에 들어갈 수 있는지 아십니까? 서버는 주로 몇 가지 장고 배포 테스트 버전을 실행합니다.
  • 답변 # 1

    다른 답변에서 설명했듯이 컴퓨터를 사용하여 크립토 코인을 채굴하는 악성 코드입니다. 좋은 소식은 CPU와 전기를 사용하는 것 외에 다른 일을 할 가능성이 없다는 것입니다.

    여기에 더 많은 정보가 있으며이를 제거한 후 다시 싸울 수있는 방법이 있습니다.

    이 멀웨어는 monero라는 altcoin을 가장 큰 monero 풀 중 하나 인 crypto-pool.fr에 채굴합니다. 이 풀은 합법적이며 악성 코드의 소스가 아닐 가능성이 높습니다. 이것이 돈을 버는 방법이 아닙니다.

    해당 맬웨어를 작성한 사람을 성가 시게하려면 풀 관리자에게 문의하십시오 (사이트의 지원 페이지에 이메일이 있음). 그들은 봇넷을 좋아하지 않으므로 악성 코드가 사용하는 주소 ( 42Hr... 로 시작하는 긴 문자열)를보고하면 ), 해당 주소로 지불을 중단하기로 결정하여 해당 조각을 쓴 해커의 삶을 좀 더 어려워 질 것입니다.

    이 또한 도움이 될 수 있습니다. AWS EC2 인스턴스에서 지뢰 멀웨어를 어떻게 죽일 수 있습니까? (손상된 서버)

  • 답변 # 2

    프로그램이 실행되는 위치를 숨기려고하는 문제의 정도에 따라 다릅니다. 너무 많지 않으면

    <올>

    프로세스 ID 12583 로 시작  스크린 샷에서

    ls -l /proc/12583/exe 사용  그리고 그것은 당신에게 (deleted) 로 주석을 달 수있는 절대 경로 이름에 대한 심볼릭 링크를 제공해야합니다

    파일이 삭제되지 않은 경우 경로 이름에서 파일을 검사하십시오. 링크 수가 1 인 경우 특히주의하십시오. 그렇지 않은 경우 파일의 다른 이름을 찾아야합니다.

    이 서버를 테스트 서버라고 설명하기 때문에 데이터를 저장하고 다시 설치하는 것이 좋습니다. 프로그램이 루트로 실행된다는 사실은 현재 기계를 신뢰할 수 없다는 것을 의미합니다.

    업데이트 : 이제 파일이/tmp에 있음을 알았습니다. 이것은 바이너리이기 때문에 몇 가지 선택 사항이 있습니다. 파일이 시스템에서 컴파일되고 있거나 다른 시스템에서 컴파일되고 있습니다. 컴파일러 드라이버 ls -lu /usr/bin/gcc 의 마지막 사용 시간 살펴보기  힌트를 줄 수도 있습니다.

    중지 간격으로서, 파일 이름이 일정한 경우이 이름으로 파일을 작성할 수 있지만 쓰기 금지되어 있습니다. 명령을 실행하는 작업이 작업을 다시 발생시키는 경우를 대비하여 모든 현재 프로세스를 기록한 다음 오랫동안 잠자기하는 작은 쉘 스크립트를 제안합니다. 나는 chattr +i /tmp/Carbon 를 사용합니다  파일 시스템에서 허용하는 경우 불변 파일을 처리하는 방법을 아는 스크립트가 거의 없습니다.

  • 답변 # 3

    귀하의 서버가 BitCoin 광부 멀웨어에 의해 손상된 것으로 보입니다. 게시 된 ServerFault 스레드 @dhag를 참조하십시오. 또한이 페이지에는 많은 정보가 있습니다.

    이것은 "파일리스 악성 코드"라고합니다. 실행되어서는 안되는 실행 파일을 찾을 수 없습니다. cryptocurrency를 채굴하는 데 사용하기 때문에 모든 CPU 용량을 사용하고 있습니다.

  • 이전 awk - 2 문자 분리 문자로 자르기
  • 다음 centos - 큰 문제 - rpm 빈 db, v3 rsa/sha1 서명 설치, 키 bad, yumrepo 오류