На хостинге вирус-майнер xmrig и gcc грузят CPU на 100%. Как удалить с VDS?

Использую VDS. Командой top нашел 2 процесса, которые загружают сервер на 100% - xmrig и gcc.
Убил оба (после того как убил xmrig - gcc стал есть 130%).

В итоге нормальный полет.
В папке root нашел config_1.json с таким конфигом:

{
    "algo": "cryptonight",
    "api": {
        "port": 0,
        "access-token": null,
        "worker-id": null,
        "ipv6": false,
        "restricted": true
    },
    "av": 0,
    "background": true,
    "colors": true,
    "cpu-priority": null,
    "donate-level": 0,
    "log-file": null,
    "max-cpu-usage": 100,
    "pools": [
        {
            "url": "pool1.xaxaxa.eu:28000",
            "user": "lol",
            "pass": "lol",
            "keepalive": true,
            "nicehash": false,
            "variant": -1
        }
    ],
    "print-time": 60,
    "retries": 5,
    "retry-pause": 5,
    "safe": false,
    "syslog": false,
    "threads": null
}


Удалю. Кроме смены паролей что еще сделать? Процессы ведь запустятся после перезапуска сервера. Где еще искать? И как вообще удалять вирусы на удаленном сервере? Выкачивать себе что ли?
  • Вопрос задан
  • 3473 просмотра
Решения вопроса 1
Sanasol
@Sanasol
нельзя просто так взять и загуглить ошибку
Ну так за что вы их убили, не посмотрели сначала где они находятся?

Ищите теперь xmrig на сервере и убивайте. Правда раз его залили, то искать дыру надо на сайте каком-нибудь или пароль от сервере менять на нормальный. Просто удаление ничего не даст, ровно так же зальют обратно.

И как вообще удалять вирусы на удаленном сервере? Выкачивать себе что ли?

шта?
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
GavriKos
@GavriKos
И как вообще удалять вирусы на удаленном сервере?

Так же как и локально.
Ответ написан
Комментировать
CityCat4
@CityCat4
Жил-был у бабушки серенький троллик...
В морде управления есть кнопочка "Переустановить систему" :) Нажать. Дождаться. Развернуть бэкап. Если бэкапа нет - медитировать на фразы "все админы делятся..." и "кроилово ведет к попадалову".
Ответ написан
riky
@riky
Laravel
У товарища одного нашел тоже это.
добавлю еще, в крон рута добавляется
@reboot /root/gcc -c /root/config_1.json

соответственно /root/gcc и есть тот майнер.
других файлов правленных в тот же период нет. вероятно работают готовым софтом который только майнер заливает, и заливает еще на видное место.
возможно у вас vestacp тоже? летом там дыра какая то была обнаружена.

https://forum.vestacp.com/viewtopic.php?t=17183
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы