Кто сталкивался с уязвимостью, майнящей криптовалюту?
На паре серверов с разными ядрами, разной версией ubuntu, 16.04 и 18.04, обнаружилась некая фигня, грузящая проц
Запущена от рута, имеет разные имена типа ptV9Tp
Из найденного - в кронтабе от рута вызов systemd, в /tmp - файлы .XIM-unix, в которых uid процесса bash и самого ptV9Tp
и в /lib/systemd файлик systemd-login с вызовом bash
как эту ерунду лечить
процесс висит явно поключеный к пулу
ptV9Tp 15244 root 0u IPv4 2329155943 0t0 TCP 41-04.webazilla.com:51200->server.pol-ice.ru:http-alt (ESTABLISHED)
Удалять процесс бесполезно, будет другой. Пока удалил всё перечисленное, ещё не появлялся. Я уже сталкивался где-то год назад с этим, но systemd-login не удалял. Остальное всё накатывается заново )
раньше оно юзало wget для вытягивания скрипта, даже wget переименовывал для этого))
