Ho un'istanza AWS EC2 con RHEL 7.2 che sembra essere stata compromessa da un BitCoin CPU Miner. Quando eseguo ps -eo pcpu,args --sort=-%cpu | head
, mostra che c'è un minatore della CPU che occupa più del 90% dell'utilizzo della CPU.
%CPU COMMAND
99.8 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u 47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX -p x
Viene visualizzato anche quando eseguo top -bn2 |sed -n '7,25'p
-
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
21863 root 20 0 237844 3300 1012 S 42.0 0.1 3:49.55 minerd
Continuo a provare a rimuovere minerd
da /opt/
ma continua a ruotare di nuovo. Precedentemente avevo KHK75NEOiq33
e una yam
directory. Sono stato in grado di eliminarli ma non minerd
.
Come posso rimuovere permanentemente questo? Ho anche provato a eliminare il PID
individualmente con sudo kill -9
e sudo kill -2
. C'è qualche antivirus che posso usare per sbarazzarmene?
EDIT - La domanda è stata contrassegnata come possibile duplicato per un'altra domanda . Tuttavia, la differenza è che sto indagando su un malware specifico. Ho trovato la soluzione alla domanda, che pubblicherò qui sotto.