LINUX.ORG.RU
ФорумAdmin

Майнер в centos вирус

 ,


0

2

Гуру нужна очень помощь, завелась зараза, запускается процесс который грузит систему. Доступ по ssh открыт только для опеределенных IP, пароль тоде не простой. Система centos 7, крутится два сайта. Раз в двое суток появляется процесс ./top, 4 процесса, который грузят проц на 100%. Переустановил систему, болячка не пропала, где то сидит Эта зараза Запускается он под apache https://prnt.sc/8xpcDgxIfV-Z

Вывод crontab -u apache -l выводит только инфу про запуск импорта и экспорта для CMS которые крутятся на сайтах.

Вывод ll /proc/19835/exe Говорит что запущено было с tmp но удалено https://prnt.sc/vKWAHzZCkhei

Подскажите пожалуйста, как можно обнаружить что запускает это все?


проверить сервер на безопасность
автозагрузка скрипта

Поломали твои сайты, через них и запускают

Версии с дивана:

  1. tmp на отдельную ФС, монтировать с noexec
  2. по возможности запрети загрузку файлов в php
  3. смотри логи апача, как эта радость к тебе попала
router ★★★★★
()
Ответ на: комментарий от router

И неплохо бы поставить mod_security. Как минимум в режиме detect, а лучше block

И кстати, забуть про centos7, он стар и давно мертв. Возьми актуальный дистрибутив убунты lts, например.

router ★★★★★
()
Последнее исправление: router (всего исправлений: 2)

где то сидит Эта зараза

Сайт поломали. Последовательность действий:
1. Разберитесь как именно поломали, с бОльшей вероятностью это очередная дыра в cms.
2. Достаем из резервной копии не поломанный вариант и чиним его.
3. Профит.

anc ★★★★★
()
проверить сервер на безопасность
Admin
автозагрузка скрипта