Su una delle macchine di sviluppo, abbiamo notato un elevato utilizzo della CPU causato dal processo md
. Una breve ispezione ha portato al processo ~/.info/md
che si è rivelato essere monero minatore, avviato da crontab.
Purtroppo lo abbiamo cancellato troppo in fretta, senza ispezionare, come potrebbe arrivarci.
Potrebbe essere installato "per divertimento" o come parte di alcuni benchmark delle prestazioni o altro, ma se si trattasse di un worm o di un virus, allora abbiamo un problema più grande da ispezionare.
La directory di installazione e il nome del processo corrispondono a qualsiasi worm o virus noto? Sembra un tentativo di nascondere l'attività dietro il nome dei processi legittimi (anche se su * nix tutti i nomi di 2 caratteri sono probabilmente riservati a qualcosa di legittimo).
La macchina sta eseguendo Ubuntu.
Ho provato googling per "monero worm .info md" ma senza risultati ragionevoli, probabilmente l'intera frase non è buona ricercabile.