在其中一台开发机器上,我们注意到由md进程引起的高 CPU 使用率。一个简短的检查导致了一个~/.info/md由 crontab 启动的进程,该进程原来是 monero 矿工。
不幸的是,我们过于急切地删除了它,没有检查它是如何到达那里的。
它可以“为了好玩”或作为某些性能基准测试的一部分或任何东西安装,但如果它是蠕虫或病毒,那么我们就有更大的问题需要检查。
安装目录和进程名称是否与任何已知的蠕虫或病毒匹配?它看起来像是试图将活动隐藏在合法进程名称下(尽管在 *nix 上,所有 2 字符名称可能都保留给合法的东西)。
这台机器正在运行 Ubuntu。
我试过用谷歌搜索“monero worm .info md”,但没有任何合理的结果,可能整个短语不好搜索。
正如其他人所说,矿工只是有效载荷。如果这是一个 Web 服务器,您可能希望查看与 md 文件的创建日期相同的时间戳的 Apache 或 Web 服务器访问日志。他们可能利用了漏洞或使用默认密码登录管理页面。您还可以检查 syslog 是否获得了 SSH 登录,并查看是否有任何登录大约在同一时间或来自不寻常的源 IP,因为您可能设置了默认密码或弱密码。
如果您所做的只是删除矿工,您可能还有其他问题,并且矿工或其他恶意软件可能会再次出现,因为攻击者可能仍然有一个入口点或在系统上放置了多个后门。
您还可以运行netstat -anop并寻找奇怪的出站网络连接,因为攻击者可能在系统上有反向 shell 或其他矿工。
如果它是一个 Web 服务器,您还可以查看系统上所有 Web 文件夹中的所有文件,以查看 Webshell(攻击者为了远程执行命令而丢弃的奇怪网页)。
如果您删除有效负载,攻击者不会消失,因此请注意它们是否返回,否则它们可能已经存在。