Security 删除xmr.crypto-pool.fr进程_Security_Server_Ubuntu 14.04_Malware

Security 删除xmr.crypto-pool.fr进程

security server

Security 删除xmr.crypto-pool.fr进程,security,server,ubuntu-14.04,malware,Security,Server,Ubuntu 14.04,Malware,我的Ubuntu服务器上运行着一个匿名进程，它使用了100%的内存用户：Tomcat 进程：/tmp/autox-B-a-o+tcp://xmr.crypto-pool.fr:443 -u 47TS1NQVEBB3FEQ91MQKDSGCUQ18DTEDMFTRRSGFFC2FK85NRDABWUA8EUAIULIGA6WYTV5AOR8BMJYSDMTX9DQBFRx-p x 我一直试图终止在/tmp文件夹中找到的进程和文件，但它仍然用不同的名称重新创建文件并重新启动进程我在IPTABLE

我的Ubuntu服务器上运行着一个匿名进程，它使用了100%的内存

用户：Tomcat

进程：/tmp/autox-B-a-o+tcp://xmr.crypto-pool.fr:443 -u 47TS1NQVEBB3FEQ91MQKDSGCUQ18DTEDMFTRRSGFFC2FK85NRDABWUA8EUAIULIGA6WYTV5AOR8BMJYSDMTX9DQBFRx-p x

我一直试图终止在/tmp文件夹中找到的进程和文件，但它仍然用不同的名称重新创建文件并重新启动进程

我在IPTABLES中删除xmr.crypto-pool.fr的输入和输出

现在它已经成为服务器上的一个恼人的问题

伙计们，帮帮我

您的服务器似乎被黑客攻击或感染了Miner恶意软件（使用您的系统挖掘加密货币的恶意软件[Monero，在本例中]）

查找任何可疑的流程/作业

您的服务器似乎被黑客攻击或感染了Miner恶意软件（使用您的系统挖掘加密货币的恶意软件[Monero，在本例中]）

查找任何可疑的流程/作业

我今天才意识到我的服务器也被感染了。对我来说，这个过程不是/tmp/autox，而是./http.conf的一个实例（不是开头的./）。在查看cron时，我发现了这个：

* * * * * /tmp/.-/update >/dev/null 2>&1

然后，我从cron中删除了这一行，并转到

/tmp/-/

恶意软件确实存在的地方。作为临时修复，我在该文件夹中找到的每个脚本的顶部添加了一个

exit

语句。我现在还不想删除它，因为我想做更多的调查。我还删除了

.ssh/authorized_keys

中添加的所有密钥。现在，当终止进程时，它不会再次启动

如果我发现其他问题，我会更新我的答案。

我今天才意识到我的服务器也被感染了。对我来说，这个过程不是/tmp/autox，而是./http.conf的一个实例（不是开头的./）。在查看cron时，我发现了这个：

* * * * * /tmp/.-/update >/dev/null 2>&1

然后，我从cron中删除了这一行，并转到

/tmp/-/

恶意软件确实存在的地方。作为临时修复，我在该文件夹中找到的每个脚本的顶部添加了一个

exit

语句。我现在还不想删除它，因为我想做更多的调查。我还删除了

.ssh/authorized_keys

中添加的所有密钥。现在，当终止进程时，它不会再次启动

如果我找到任何其他内容，我将更新我的答案。

thx用于回复，但在我的情况下，没有用于运行这些进程的cronjob，我不知道从何处执行，删除后，重新创建文件thx用于回复，但在我的情况下，没有用于运行这些进程的cronjob，我不知道这是从哪里执行的，在删除重新创建的文件后，我看了这篇文章，但除了使用iptabledrop没有帮助，除了没有用之外，我看了这篇文章，但除了使用iptabledrop没有帮助，除了没有用之外