înregistrare Logare
Puncte:0
avatar Ubuntu

Suspected exploit log_rotari2

drapel cn
Boris Zinchenko

Recently performance of my Ubuntu 18 server heavily degraded. I found in process list the following process, which consumes all CPU of my server.

./log_rotari2 --coin monero -o suxsuxsux.com:3333 -u linux -p linux --nicehash --donate-level=1 --cpu-priority=5 --cpu-no-yield -k -B

Maybe somebody knows what it is and how to remove this process? Sorry my knowlege of Ubuntu is very limited. Thank you.

Update: System is Ubuntu Linux 18.04.5, Linux 4.15.0-156-generic on x86_64

Following valuable comments, I found this extra info about this process.

Current dir Directory   4096    2   /  
Root dir    Directory   4096    2   / 
Program code    Regular file    6289312 19267940    /tmp/xmrig-6.14.1/log_rotari2 (deleted) 
2u  Regular file    1807    19141142    /tmp/#19141142 (deleted)

It seems that the process has been created and then its executable was deleted from the disk. I cannot even find executable file.

156
0 + 0
guiverc avatar
drapel cn
guiverc
Ubuntu 18? Nu există o astfel de lansare, deci vrei să spui că este un produs server Ubuntu Core 18? Produsele Ubuntu care utilizează formatul *an* sunt diferite de produsele mai comune în format *an.lună*.
1
Răspunde
drapel cn
Rinzwind
https://forums.docker.com/t/redis-alpine-malware/105143 https://blog.aquasec.com/container-attacks-on-redis-servers
4
Răspunde
drapel cn
Rinzwind
Există un singur răspuns corect: reinstalați dintr-un mediu de instalare curat. Scoaterea firului nu este o soluție. Contul dvs. de administrator ar trebui să fie considerat expus și ar putea exista un script pe sistemul dvs. îngropat într-un alt script care așteaptă să îl eliminați :)
4
Răspunde
Alejandro avatar
drapel jp
Alejandro
Arată ca un fel de bot de exploatare a criptomonedei, dar este dificil de evaluat fără mai multe detalii. Dacă cunoașteți `pid`-ul procesului (de exemplu, din comanda `top`), puteți găsi calea către executabil rulând `sudo ls -l /proc/xxxxxx/exe` unde `xxxxxx` este `pid ` a procesului. Apoi ar trebui să puteți elimina executabilul. (*Cu toate acestea* sunt de acord cu @Rinzwind și aș recomanda o instalare curată.)
1
Răspunde
drapel cn
Rinzwind
@Alejandro pare într-adevăr un miner, dar cele 2 link-uri folosesc același `log_rotari2` pentru a executa un ddos ​​:) Și asta mă face să cred că este mai mult decât un miner
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.