Un proces de cripto-mining continuă să apară pe server

Am început recent să folosesc un server Ubuntu la distanță pentru mașină de dezvoltare și testare. Cu toate acestea, furnizorul de găzduire a raportat că se desfășoară un proces de cripto mining și a trebuit să închidă serverul.

Nu existau jurnalele sau orice date care ar putea identifica acel proces sau orice ar putea ajuta la a afla ce sa întâmplat. Apoi s-a întâmplat din nou, dar de data aceasta au surprins asta:

PID UTILIZATOR PR NI VIRT RES SHR S %CPU %MEM TIME+ COMANDA  
246369 redis     20   0   13928  11444    908 S 746.7   0.2  62801:13 /tmp/kmv --pool pool.hashvault.pro:80 --username TRTLv2TW8sjC5LmSpiDdRZ2ndnEwPRpJ9Lgz3vgGY2CTSLkLeKAUFMefEeT6idQBxzSLsXfAvAqfhH5zkxMM3sHu2RL8xh1n5Pg --password x --algorithm chukwa_v2

Singurele porturi care sunt deschise sunt portul Redis, 6379.

admin@nicotine2:~$ sudo ufw status
Stare: activ

La Acțiune De la
-- ------ ----
22 PERMITERE oriunde
9200 DENY Oriunde
6379/tcp ALLOW oriunde
22 (v6) PERMITERE oriunde (v6)
9200 (v6) DENY Anywhere (v6)
6379/tcp (v6) PERMITERE oriunde (v6)

Când am verificat, nu era /tmp/kmv folder oriunde poate fi găsit. Acest lucru s-a întâmplat pentru a 2-a oară.

Aveți indicii, recomandări sau sugestii pentru a evita acest lucru?

Redis are o vulnerabilitate bine cunoscută de execuție a codului de la distanță dacă nu activați autentificarea.

Acest articol conține mai multe informații despre problema dvs. exactă.

https://www.trendmicro.com/en_gb/research/20/d/exposed-redis-instances-abused-for-remote-code-execution-cryptocurrency-mining.html

Întrebarea cu adevărat bună este: ce ai instalat?

Există șanse mari să instalați o aplicație infectată sau vulnerabilă la acest software de criptomining. Acesta poate fi și în Imagini Docker.

Deci dezinstalați totul (sau reinstalați o imagine goală ar putea fi chiar mai bine) și monitorizați-vă serverul în timp ce instalați lucruri. Ar trebui să vedeți un vârf uriaș al procesorului când instalați software-ul de criptomining infectat.

EDITARE: Dacă ați instalat o versiune mai veche și vulnerabilă a ElasticSearch (sau o imagine Docker neoficială), răspunsul este destul de evident: Instalați cea mai recentă versiune oficială și corecționată de securitate.

EDIT 2: TheHermit are răspunsul corect aici, deoarece procesul redis este cel care găzduiește exploitul de criptominere.

Ei bine, pentru unul care permite SSH pe portul 22 de oriunde este un risc de securitate, recomandăm să-l limitați la un IP care este utilizat pentru management și să schimbați portul implicit 22 cu ceva într-un interval mai înalt. Trebuie să vedem mai multe procese ale Serverului, Redis ar trebui să fie configurat cu Auth.