Encontrei malware na minha instância ec2 que estava continuamente minerando bitcoin e usando meu poder de processamento de instância. Eu identifiquei o processo com sucesso, mas não consegui removê-lo e matá-lo.
Executei este comando
watch "ps aux | sort -nrk 3,3 | head -n 5"
Ele mostra os cinco principais processos em execução na minha instância, dos quais descobri que existe um nome de processo ' bashd ' que estava consumindo 30% da CPU. O processo é
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
Eu matei esse processo usando o kill -9 process_id
comando Após 5 segundos, o processo começou novamente.
Respostas:
Se você não colocou o software lá e / ou acha que sua instância da nuvem está comprometida: Coloque-o off-line, exclua-o e reconstrua-o do zero (mas leia o link abaixo primeiro). Ele não pertence mais a você, você não pode mais confiar nela .
Consulte "Como lidar com um servidor comprometido" no ServerFault para obter mais informações sobre o que fazer e como se comportar ao comprometer uma máquina.
Além das coisas a fazer e pensar nas listas vinculadas acima, lembre-se de que, dependendo de quem você é e de onde é, você pode ter a obrigação legal de denunciá-lo a uma segurança de TI local / central equipe / pessoa dentro da sua organização e / ou às autoridades (possivelmente até dentro de um determinado período).
Na Suécia (desde dezembro de 2015), por exemplo, qualquer agência estadual (por exemplo, universidades) é obrigada a relatar incidentes relacionados a TI dentro de 24 horas. Sua organização terá procedimentos documentados sobre como fazer isso.
fonte
Este comando
bashd
é o mesmo queccminer
doccminer-cryptonight
programm para minerar o Monero no seu sistema (existe o tuto: Monero - Ccminer-cryptonight GPU miner no Linux ), obashd
obtido é por alias ou pela modificação do código fonte do programa.Malware Cryptonight: como matar o processo? (informações encontradas na página de especialistas em malware)
Processo de remoção manual
Em seguida, apenas
kill -9 process_id
com permissões de root. (Você deve matar o processo,cryptonight
não obashd
)Para estar seguro, você deve:
fonte