Co za czasy.
Klient zgłosił nam problem z działaniem nowo zakupionego serwera VPS. Serwer został uruchomiony kilka dni temu (dokładnie 7 dni). Jest to dwurdzeniowa maszyna ale… obciążenie procesora 100% :/
szybki rzut oka
htop
i już wiemy, że ciśnie tam XMRig – prawdopodobnie to : https://github.com/C3Pool/xmrig-C3
Sę myślę, rzućmy okiem na katalog roota
No i jest katalog c3pool :/ ehhhh
Data utworzenia katalogu
stat c3pool/
5 dni temu…
killall -9 xmrig
Nie ubija procesu bo ten startuje na nowo.
Na ostro więc
rm -r c3pool/
i restart dla pewności. Zmiana haseł, portu SSH itd..
Szukam dalej bo niby że hasło zgadli?
Mam! Do SSH nie, ale do panelu hostingu (proste hasło). Co zrobił atakujący?
.
.
.
.
.
Dodał klucz SSH dzięki czemu mógł się zalogować bez passworda.
Klucz usunięty, dla pewności puszczone:
yum update
Po robocie
Dla pewności
rm p2pclient_0.56_amd64.deb
i
rm p2pclient_0.56_amd64.deb.1
Over.
Dalsza obserwacja