xm64在Linux Mageia 6中填充我的处理器资源

从今天早上开始，我开始注意到我的Linux/Mageia6运行缓慢

我以root用户身份使用

top

命令进行检查，发现名为

xm64

的进程以

invitado

用户（西班牙语中的来宾用户）身份运行，占用了我755%的CPU

我杀了好几次那个过程，它突然又开始了。可疑的是，没有人以来宾用户（invitado）的身份登录，计算机的唯一真正用户是我

由于

invitado

只是我的客人在我家时的一个帐户，所以我决定在再次杀死

xm64

进程之前删除该用户

删除该用户后，

xm64

进程再也没有出现

我使用

grep-rixm64/var/log

在/var/log上搜索xm64信息，但没有找到任何东西

现在我正在安装

clamav

和

maldetect

以搜索信息

我在谷歌上搜索，没有发现任何与xm64 linux相关的信息，但当我只搜索xm64时，我在WindowsXM64.EXE上找到了有关特洛伊木马病毒的信息

这是我开始使用Linux 25年来第一次怀疑我的Linux机器被感染

我责怪自己，因为我使用字典密码创建了那个来宾用户。。。我保证再也不这样做了

---

有人能确认我这是Linux上的恶意软件还是另一个问题吗？

今天，冷静下来，我找到以下信息：

[root@tarfful etc]# cd /var/
[root@tarfful var]# grep -ri xm64 *
Coincidencia en el fichero binario lib/mlocate/mlocate.db
Coincidencia en el fichero binario local/mga_rpms/core/glibc-devel-2.22-29.mga6.x86_64.rpm
Coincidencia en el fichero binario log/journal/235b4f4f2b94420e852900b7e0210a05/system.journal
log/security/unowned_user.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.diff:+/tmp/.zx/xm64
log/security/unowned_user.weekly.diff:+/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.today:/tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff:     -   Added Unknown owner for files : /tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff:     -   Added Unknown group for files : /tmp/.zx/xm64
Coincidencia en el fichero binario log/squid/access.log.1
mail/postfix:/tmp/.zx/xm64
mail/postfix:/tmp/.zx/xm64
mail/postfix:-   Added Unknown owner for files : /tmp/.zx/xm64
mail/postfix:-   Added Unknown group for files : /tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:-   Added Unknown owner for files : /tmp/.zx/xm64
spool/mail/postfix:-   Added Unknown group for files : /tmp/.zx/xm64
[root@tarfful var]#

现在我有了一个/tmp/.zx/xm64的副本

我把这些信息上传到了

我还输入了/tmp/.zx其他脚本和二进制文件：

[root@tarfful spool]# tree /tmp/.zx/
/tmp/.zx/
├── a
├── cron.d
├── h32
├── h64
├── run
├── update
├── x
├── xm32
└── xm64

当我修改crontab spool时，我发现：

[root@tarfful cron]# cd /var/spool/cron/
[root@tarfful cron]# ls
invitado
[root@tarfful cron]# cat invitado 
* * * * * /tmp/.zx/update >/dev/null 2>&1

因此，特洛伊木马每分钟都会运行更新脚本，其中显示：

[root@tarfful spool]# cat /tmp/.zx/update 
#!/bin/bash

DIR=$( cd ${0%/*} && pwd )
ps aux | grep ALIENS_z | grep -v grep

if [ $? = 0 ]
then
echo
else
cd $DIR
./run &>/dev/null &
#./run &
fi

exit 0

为了删除特洛伊木马，我作为root用户执行了以下步骤：

ps -xau | grep xm64
kill -9 [PID OF xm64]
rm /var/spool/cron/invitado
rm -rf /tmp/.zx

---

今天，冷静下来，我发现以下信息：

[root@tarfful etc]# cd /var/
[root@tarfful var]# grep -ri xm64 *
Coincidencia en el fichero binario lib/mlocate/mlocate.db
Coincidencia en el fichero binario local/mga_rpms/core/glibc-devel-2.22-29.mga6.x86_64.rpm
Coincidencia en el fichero binario log/journal/235b4f4f2b94420e852900b7e0210a05/system.journal
log/security/unowned_user.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.diff:+/tmp/.zx/xm64
log/security/unowned_user.weekly.diff:+/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.today:/tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff:     -   Added Unknown owner for files : /tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff:     -   Added Unknown group for files : /tmp/.zx/xm64
Coincidencia en el fichero binario log/squid/access.log.1
mail/postfix:/tmp/.zx/xm64
mail/postfix:/tmp/.zx/xm64
mail/postfix:-   Added Unknown owner for files : /tmp/.zx/xm64
mail/postfix:-   Added Unknown group for files : /tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:-   Added Unknown owner for files : /tmp/.zx/xm64
spool/mail/postfix:-   Added Unknown group for files : /tmp/.zx/xm64
[root@tarfful var]#

现在我有了一个/tmp/.zx/xm64的副本

我把这些信息上传到了

我还输入了/tmp/.zx其他脚本和二进制文件：

[root@tarfful spool]# tree /tmp/.zx/
/tmp/.zx/
├── a
├── cron.d
├── h32
├── h64
├── run
├── update
├── x
├── xm32
└── xm64

当我修改crontab spool时，我发现：

[root@tarfful cron]# cd /var/spool/cron/
[root@tarfful cron]# ls
invitado
[root@tarfful cron]# cat invitado 
* * * * * /tmp/.zx/update >/dev/null 2>&1

因此，特洛伊木马每分钟都会运行更新脚本，其中显示：

[root@tarfful spool]# cat /tmp/.zx/update 
#!/bin/bash

DIR=$( cd ${0%/*} && pwd )
ps aux | grep ALIENS_z | grep -v grep

if [ $? = 0 ]
then
echo
else
cd $DIR
./run &>/dev/null &
#./run &
fi

exit 0

为了删除特洛伊木马，我作为root用户执行了以下步骤：

ps -xau | grep xm64
kill -9 [PID OF xm64]
rm /var/spool/cron/invitado
rm -rf /tmp/.zx

---

我有同样的特洛伊木马，它在系统上的两个位置

/tmp 
/var/tmp

除了xm64之外，程序“goauto”在top中运行，用于自动启动“dtsm”程序，这似乎是一个挖掘工具，但我不确定

它在/var/spool/cron文件夹中的多个crontab文件中放置了cronjob行，所以一定要检查它们

我做了以下工作：

• 删除了crontab行
• 杀死了“xm64”、“goauto”和所有正在运行的“dtsm”进程
• 删除了/tmp和/var/tmp文件夹中的文件（使用“locate goauto”或“locate xm64”搜索所有位置）
• 将“139.59.28.207”IP添加到IPTABLES中，以便阻止它（一些脚本从该IP中删除）

似乎它已经停止了这个问题

---

我现在正在运行clamscan来完成剩余的清理工作（如果有的话），并且必须首先弄清楚它是如何在服务器上结束的。

我有相同的特洛伊木马，它位于系统的两个位置

/tmp 
/var/tmp

除了xm64之外，程序“goauto”在top中运行，用于自动启动“dtsm”程序，这似乎是一个挖掘工具，但我不确定

它在/var/spool/cron文件夹中的多个crontab文件中放置了cronjob行，所以一定要检查它们

我做了以下工作：

• 删除了crontab行
• 杀死了“xm64”、“goauto”和所有正在运行的“dtsm”进程
• 删除了/tmp和/var/tmp文件夹中的文件（使用“locate goauto”或“locate xm64”搜索所有位置）
• 将“139.59.28.207”IP添加到IPTABLES中，以便阻止它（一些脚本从该IP中删除）

似乎它已经停止了这个问题

---

我现在正在运行clamscan来完成剩余的清理工作（如果有的话），并且必须首先弄清楚它是如何在服务器上结束的。

从您的系统和进程行为的含义来看，它看起来确实像是同一个病毒。我建议您查看有关如何在Windows上删除它的说明，因为将病毒移植到Linux并不牵强，但它的感染/操作方法没有改变。如果你找到了真正的可执行文件，将其上传到任何病毒检测网站，如果还没有，你会帮助很多人。是的，今天，冷静下来，我用grep xm64/var/log找到了信息。从你系统的含义和进程的行为判断，它看起来确实像是同一个病毒。我建议您查看有关如何在Windows上删除它的说明，因为将病毒移植到Linux并不牵强，但它的感染/操作方法没有改变。如果你找到了真正的可执行文件，将其上传到任何病毒检测网站，如果它还没有出现，你会帮助很多人。是的，今天，冷静下来，我发现grep xm64/var/logI的信息也有同样的问题。即使您rm rf/tmp/.zx，它仍然存在。看看ps-u因维塔多。它仍然运行tsm、xm64和rpc_bind。我已经将病毒存档在一个gz文件中，它们是linux可执行文件。我不知道该怎么办，我也有同样的问题。即使您rm rf/tmp/.zx，它仍然存在。看看ps-u因维塔多。它仍然运行tsm、xm64和rpc_bind。我已经将病毒存档在一个gz文件中，它们是linux可执行文件。我不知道该怎么办。