Недавно я начал использовать удаленный сервер Ubuntu для разработки и тестирования машины. Однако хостинг-провайдер сообщил, что запущен процесс майнинга криптовалют, и ему пришлось отключить сервер.
Не было никаких журналов или каких-либо данных, которые могли бы идентифицировать этот процесс, или чего-либо, что могло бы помочь выяснить, что произошло. Затем это произошло снова, но на этот раз они зафиксировали следующее:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
246369 redis 20 0 13928 11444 908 S 746.7 0.2 62801:13 /tmp/kmv --pool pool.hashvault.pro:80 --username TRTLv2TW8sjC5LmSpiDdRZ2ndnEwPRpJ9Lgz3vgGY2CTSLkLeKAUFMefEeT6idQBxzSLsXfAvAqfhH5zkxMM3sHu2RL8xh1n5Pg --password x --algorithm chukwa_v2
Единственные открытые порты - это порт Redis, 6379.
admin@nicotine2:~$ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
9200 DENY Anywhere
6379/tcp ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
9200 (v6) DENY Anywhere (v6)
6379/tcp (v6) ALLOW Anywhere (v6)
Когда я проверил, нигде не было папки /tmp/kmv
. Это происходит уже 2-й раз.
Любые подсказки, рекомендации или предложения, чтобы избежать этого?
Что ж, если разрешить SSH на 22-м порту из любого места, это представляет угрозу безопасности, рекомендую ограничить его IP-адресом, который используется для управления, и изменить порт 22 по умолчанию на что-то более высокое. Нам нужно увидеть больше процессов Сервера, Redis должен быть настроен с Auth.
Действительно хороший вопрос: что вы установили?
Есть большая вероятность, что вы установили приложение, зараженное этим программным обеспечением для майнинга криптовалют или уязвимое для него. Это также может быть в образах Docker .
Так что удалите все (или переустановите пустой образ, возможно, еще лучше) и следите за своим сервером во время установки. Вы должны увидеть резкий скачок загрузки ЦП при установке зараженного программного обеспечения для майнинга криптовалют.
РЕДАКТИРОВАТЬ: если вы установили старую и уязвимую версию ElasticSearch (или неофициальный образ Docker), ответ довольно очевиден: установите последнюю официальную версию с исправлениями безопасности.
РЕДАКТИРОВАТЬ 2: TheHermit дает здесь правильный ответ, так как это процесс redis, в котором размещается эксплойт криптомайнинга.
Redis имеет хорошо известную уязвимость удаленного выполнения кода, если вы не включите аутентификацию.
В этой статье вы найдете более подробную информацию о вашей проблеме.