На хостинге вирус-майнер xmrig и gcc грузят CPU на 100%. Как удалить с VDS?

Question

[Вадим Тимошенко]

Использую VDS. Командой top нашел 2 процесса, которые загружают сервер на 100% - xmrig и gcc.
Убил оба (после того как убил xmrig - gcc стал есть 130%).

В итоге нормальный полет.
В папке root нашел config_1.json с таким конфигом:

{
    "algo": "cryptonight",
    "api": {
        "port": 0,
        "access-token": null,
        "worker-id": null,
        "ipv6": false,
        "restricted": true
    },
    "av": 0,
    "background": true,
    "colors": true,
    "cpu-priority": null,
    "donate-level": 0,
    "log-file": null,
    "max-cpu-usage": 100,
    "pools": [
        {
            "url": "pool1.xaxaxa.eu:28000",
            "user": "lol",
            "pass": "lol",
            "keepalive": true,
            "nicehash": false,
            "variant": -1
        }
    ],
    "print-time": 60,
    "retries": 5,
    "retry-pause": 5,
    "safe": false,
    "syslog": false,
    "threads": null
}

Удалю. Кроме смены паролей что еще сделать? Процессы ведь запустятся после перезапуска сервера. Где еще искать? И как вообще удалять вирусы на удаленном сервере? Выкачивать себе что ли?

Answer 1

[Александр Аксентьев]

Ну так за что вы их убили, не посмотрели сначала где они находятся?

Ищите теперь xmrig на сервере и убивайте. Правда раз его залили, то искать дыру надо на сайте каком-нибудь или пароль от сервере менять на нормальный. Просто удаление ничего не даст, ровно так же зальют обратно.

И как вообще удалять вирусы на удаленном сервере? Выкачивать себе что ли?

шта?

Comments

[Вадим Тимошенко]

Ну в смысле антивирусом же не проверишь. Выкачивать себе все файлы и проверять)

[Александр Аксентьев]

Вадим Тимошенко,
во-первых майнеры это не вирусы, а во-вторых есть антивирусы и для серверов, правда они ищут не вирусы в типичном понимании, а скорее всякие потенциально опасные скрипты.

Ну и в третьих зачем вам его проверять антивирусом? Есть конкретный файл, точнее его название, найти и удалить, конец.

[tema_sun]

Вадим Тимошенко, почему не проверишь-то? Там что не компьютер у вас на другом конце провода?

[Вадим Тимошенко]

Понял. Но после того как я удалил 2 файла в папке root процессы не запускаются.
Но появилась другая проблема - процесс fail2ban-server есть 60% CPU. Раньше такого не было.

Что с этим делать, куда искать?)

[Вадим Тимошенко]

tema_sun, тупанул
не могу отойти от windows-воспитания)))

[Александр Аксентьев]

Вадим Тимошенко,

fail2ban-server есть 60% CPU

ответ в syslog скорее всего или логе fail2ban
Наврено долбятся активно на сервер всякие китайские боты и т.д.
В основном это норма, но надо смотреть, забанить через iptables особо упорных или тип того.

Свежеподнятый сервер с рут паролем 123456 взламывают за пару минут и заливают всякие майнеры и т.д.

Answer 2

[GavriKos]

И как вообще удалять вирусы на удаленном сервере?

Так же как и локально.

Answer 3

[CityCat4]

В морде управления есть кнопочка "Переустановить систему" :) Нажать. Дождаться. Развернуть бэкап. Если бэкапа нет - медитировать на фразы "все админы делятся..." и "кроилово ведет к попадалову".

Comments

[Вадим Тимошенко]

у меня бэкап просто 8Гб занимает, а диск всего 20гб)

[#]

Вадим Тимошенко, и что? это повод жить с вирусом?

[#]

Вадим Тимошенко, гораздо важнее вопрос - как давно у вас лазейки? чистый ли бекап? даже если в бекапе нет майнера, это не гарантирует что в нем нет "стороннего агента". а в этом случае либо майнер, либо еще какая то напасть, появятся быстро..

если еще пофилософствовать... - нет гарантии что хостер не скомпрометирован тотально (а многие хостеры любят иметь полный доступ к клиентским машинам)

и еще пару копеек - дырой может быть длительное отсутствие апдейтов безопасности

вариантов, к сожалению, достаточно много

[CityCat4]

Вадим Тимошенко, на VPS? Усиленно медитировать на фразу "кроилово ведет к попадалову". И докупить обьем диска.

Answer 4

[Юрий]

У товарища одного нашел тоже это.
добавлю еще, в крон рута добавляется
@reboot /root/gcc -c /root/config_1.json

соответственно /root/gcc и есть тот майнер.
других файлов правленных в тот же период нет. вероятно работают готовым софтом который только майнер заливает, и заливает еще на видное место.
возможно у вас vestacp тоже? летом там дыра какая то была обнаружена.

https://forum.vestacp.com/viewtopic.php?t=17183