บรรจวบ เข้าสู่ระบบ
Score:0
avatar Ubuntu

Suspected exploit log_rotari2

ธง cn
Boris Zinchenko

Recently performance of my Ubuntu 18 server heavily degraded. I found in process list the following process, which consumes all CPU of my server.

./log_rotari2 --coin monero -o suxsuxsux.com:3333 -u linux -p linux --nicehash --donate-level=1 --cpu-priority=5 --cpu-no-yield -k -B

Maybe somebody knows what it is and how to remove this process? Sorry my knowlege of Ubuntu is very limited. Thank you.

Update: System is Ubuntu Linux 18.04.5, Linux 4.15.0-156-generic on x86_64

Following valuable comments, I found this extra info about this process.

Current dir Directory   4096    2   /  
Root dir    Directory   4096    2   / 
Program code    Regular file    6289312 19267940    /tmp/xmrig-6.14.1/log_rotari2 (deleted) 
2u  Regular file    1807    19141142    /tmp/#19141142 (deleted)

It seems that the process has been created and then its executable was deleted from the disk. I cannot even find executable file.

156
0 + 0
guiverc avatar
cn flag
guiverc
อูบุนตู 18? ไม่มีรุ่นดังกล่าว คุณหมายความว่าเป็นผลิตภัณฑ์เซิร์ฟเวอร์ Ubuntu Core 18 หรือไม่ ผลิตภัณฑ์ Ubuntu ที่ใช้รูปแบบ *ปี* แตกต่างจากผลิตภัณฑ์รูปแบบ *ปีเดือน* ทั่วไป
1
ตอบกลับ
cn flag
Rinzwind
https://forums.docker.com/t/redis-alpine-malware/105143 https://blog.aquasec.com/container-attacks-on-redis-servers
4
ตอบกลับ
cn flag
Rinzwind
มีเพียงคำตอบเดียวที่ถูกต้อง: ติดตั้งใหม่จากสื่อการติดตั้งใหม่ทั้งหมด การถอดเธรดไม่ใช่วิธีแก้ปัญหา บัญชีผู้ดูแลระบบของคุณควรได้รับการพิจารณาว่าถูกเปิดเผย และอาจมีสคริปต์ในระบบของคุณฝังอยู่ในสคริปต์อื่นที่รอให้คุณลบออก :)
4
ตอบกลับ
Alejandro avatar
jp flag
Alejandro
ดูเหมือนว่าบอทขุด cryptocurrency บางชนิด แต่ยากที่จะประเมินหากไม่มีรายละเอียดเพิ่มเติม หากคุณทราบ `pid` ของกระบวนการ (เช่น จากคำสั่ง `top`) คุณสามารถค้นหาเส้นทางไปยังไฟล์ปฏิบัติการได้โดยเรียกใช้ `sudo ls -l /proc/xxxxxx/exe` โดยที่ `xxxxxx` คือ `pid ` ของกระบวนการ จากนั้นคุณควรจะสามารถลบไฟล์ปฏิบัติการได้ (* อย่างไรก็ตาม * ฉันเห็นด้วยกับ @Rinzwind และฉันขอแนะนำให้ติดตั้งใหม่ทั้งหมด)
1
ตอบกลับ
cn flag
Rinzwind
@Alejandro ดูเหมือนว่าคนขุดแร่จริง ๆ แต่ 2 ลิงก์ใช้ `log_rotari2` เดียวกันสำหรับการดำเนินการ ddos ​​:) และนั่นทำให้ฉันเชื่อว่ามันมากกว่าคนขุดแร่
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา