На сервере продолжает появляться процесс криптодобычи

Question 1

Недавно я начал использовать удаленный сервер Ubuntu для разработки и тестирования машины. Однако хостинг-провайдер сообщил, что запущен процесс майнинга криптовалют, и ему пришлось отключить сервер.

Не было никаких журналов или каких-либо данных, которые могли бы идентифицировать этот процесс, или чего-либо, что могло бы помочь выяснить, что произошло. Затем это произошло снова, но на этот раз они зафиксировали следующее:

PID    USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND  
246369 redis     20   0   13928  11444    908 S 746.7   0.2  62801:13 /tmp/kmv --pool pool.hashvault.pro:80 --username TRTLv2TW8sjC5LmSpiDdRZ2ndnEwPRpJ9Lgz3vgGY2CTSLkLeKAUFMefEeT6idQBxzSLsXfAvAqfhH5zkxMM3sHu2RL8xh1n5Pg --password x --algorithm chukwa_v2

Единственные открытые порты - это порт Redis, 6379.

admin@nicotine2:~$ sudo ufw status
Status: active

To                 Action      From
--                 ------      ----
22                 ALLOW       Anywhere
9200               DENY        Anywhere
6379/tcp           ALLOW       Anywhere
22 (v6)            ALLOW       Anywhere (v6)
9200 (v6)          DENY        Anywhere (v6)
6379/tcp (v6)      ALLOW       Anywhere (v6)

Когда я проверил, нигде не было папки /tmp/kmv. Это происходит уже 2-й раз.

Любые подсказки, рекомендации или предложения, чтобы избежать этого?

Question 2

Что ж, если разрешить SSH на 22-м порту из любого места, это представляет угрозу безопасности, рекомендую ограничить его IP-адресом, который используется для управления, и изменить порт 22 по умолчанию на что-то более высокое. Нам нужно увидеть больше процессов Сервера, Redis должен быть настроен с Auth.

Question 3

Question 4

Действительно хороший вопрос: что вы установили?

Есть большая вероятность, что вы установили приложение, зараженное этим программным обеспечением для майнинга криптовалют или уязвимое для него. Это также может быть в образах Docker .

Так что удалите все (или переустановите пустой образ, возможно, еще лучше) и следите за своим сервером во время установки. Вы должны увидеть резкий скачок загрузки ЦП при установке зараженного программного обеспечения для майнинга криптовалют.

РЕДАКТИРОВАТЬ: если вы установили старую и уязвимую версию ElasticSearch (или неофициальный образ Docker), ответ довольно очевиден: установите последнюю официальную версию с исправлениями безопасности.

РЕДАКТИРОВАТЬ 2: TheHermit дает здесь правильный ответ, так как это процесс redis, в котором размещается эксплойт криптомайнинга.

Question 5

Redis имеет хорошо известную уязвимость удаленного выполнения кода, если вы не включите аутентификацию.

В этой статье вы найдете более подробную информацию о вашей проблеме.

https://www.trendmicro.com/en_gb/research/20/d/exposed-redis-instances-abused-for-remote-code-execution-cryptocurrency-mining.html

score 0 · Answer 1 · 4 September 2021 в 09:28