supprimer xmr.crypto-pool.fr processus ubuntu

Question

un processus anonyme a été exécuté sur mon serveur Ubuntu, qui utilise 100% de mémoire.

utilisateur: Tomcat

processus:/tmp/autox -B -a cryptonight -o strate + tcp: //xmr.crypto-pool.fr: 443 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -PX

Je garde essayer de tuer le processus et le fichier que j'ai trouvé dans le dossier/tmp mais encore, il recrée le fichier avec un nom différent et redémarre le processus.

I Déposer ENTRÉE & SORTIE pour xmr.crypto-pool.fr Iptables

maintenant Il a été un irritant sur le serveur.

les gars s'il vous plaît aider!

Answer 1

Il semble que votre serveur est piraté ou infecté par un logiciel malveillant Miner (Malware qui utilise votre système pour extraire Crypto Currency [Monero, dans ce cas]).

Rechercher un processus suspect/Cronjob.

https://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance

Answer 2

Je viens de réaliser aujourd'hui que mon serveur a été infecté aussi. Le processus pour moi n'était pas/tmp/autox mais une instance de ./http.conf (pas le ./ au début). Lorsque l'on regarde les crons j'ai trouvé celui-ci:

* * * * * /tmp/.-/update >/dev/null 2>&1 

je puis supprimé la ligne de mes crons et est allé à /tmp/.-/ où le malware est en effet choix de l'emplacement. En tant que correctif temporaire, j'ai ajouté une instruction exit en haut de chaque script trouvé dans ce dossier. Je ne veux pas le supprimer pour le moment car je veux enquêter un peu plus. J'ai également supprimé toutes les clés ajoutées dans .ssh/authorized_keys. Maintenant, au moment de tuer le processus, il ne recommence pas.

Je mettrai à jour ma réponse si je trouve autre chose.