web-dev-qa-db-ja.com

感染したサーバー(ビットコインマイニングマルウェア)

写真の上のcentos8マシンチェックで奇妙なプロセスを見つけました:

screen shot of ps output

cat /etc/passwdと入力すると、ユーザー990がどこにも表示されません。また、このkinsingプロセスは、redisを使用して最初にマシンに感染したプロセスと同じであるため奇妙です。

どうすればこれを見つけて何が起こっているのかを理解できますか?私はすでにそれをシステムから削除しましたアンインストールredisはマイナープロセスの実行に使用されたredisユーザー名も削除しますが、興味のあるイメージで実行されているプロセスはまだ私のシステムに何かを持っていることは明らかですこのプロセスを実行しているファイル?そして、このプロセスを実行しているこの990ユーザー名は誰ですか。

プロセスに関して私が見つけた追加情報:

ls -la /proc/41325/exe
lrwxrwxrwx 1 990 987 0 Feb 28 21:53 /proc/41325/exe -> '/var/tmp/kinsing (deleted)'
1
Jack Duldi

クリーンアップを実行し、強制終了しなかったときに、このプロセスはすでに実行されていた(つまり、メモリ内にある)ように思われるので、まだそこにあります。

990ユーザー名は、ユーザーが存在しないことを意味します。削除したredusに関連付けられているユーザーのユーザーIDは990であるようです。

もちろん、実行中のインスタンスは「kill41325」で終了できます。

サーバーが完全にハッキングされていないことを保証することは不可能ですが、ユーザーが自分自身をrootにエスカレートしたという証拠は示されていないため、大丈夫かもしれません。 「find/-user 990」のようなコマンドを実行して、このアカウントの痕跡が残っているかどうかを確認することをお勧めします。

3
davidgo