Co za czasy.

Klient zgłosił nam problem z działaniem nowo zakupionego serwera VPS. Serwer został uruchomiony kilka dni temu (dokładnie 7 dni). Jest to dwurdzeniowa maszyna ale… obciążenie procesora 100% :/

szybki rzut oka

htop

i już wiemy, że ciśnie tam XMRig – prawdopodobnie to : https://github.com/C3Pool/xmrig-C3

Sę myślę, rzućmy okiem na katalog roota

No i jest katalog c3pool :/ ehhhh

Data utworzenia katalogu

stat c3pool/

5 dni temu…

killall -9 xmrig

Nie ubija procesu bo ten startuje na nowo.

Na ostro więc

rm -r c3pool/

i restart dla pewności. Zmiana haseł, portu SSH itd..

Szukam dalej bo niby że hasło zgadli?

Mam! Do SSH nie, ale do panelu hostingu (proste hasło). Co zrobił atakujący?

.

.

.

.

.

Dodał klucz SSH dzięki czemu mógł się zalogować bez passworda.

Klucz usunięty, dla pewności puszczone:

yum update

Po robocie

Dla pewności

rm p2pclient_0.56_amd64.deb

i

rm p2pclient_0.56_amd64.deb.1

Over.

Dalsza obserwacja