LINUX.ORG.RU

sleep process from /tmp very high load cpu

 , , ,


0

1

Добрый день

ОС Fedora 4.16.14-300.fc28.x86_64 #1 SMP Tue Jun 5 16:23:44 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux Компьютер -проходной двор, в том смысле, что за ним работают все желающие.

Проблема: при подключении к интернет активизируется процесс sleep и начать немерянно жрать cpu, вплоть до невозможности пошевелить курсором. Если его убить, через какое время снова появляется и запускается.

Находится в папке /tmp/162C-F27F-D8BC-E0B1 имя папки с каждым перезапуском меняется

-rwxrwxrwx. 1 jori jori 2547920 Jul 5 02:04 sleep -rw-------. 1 jori jori 13 Jul 5 02:07 .sleep.log -rw-------. 1 jori jori 44 Jul 5 02:07 .sleep.res

сам файл, на всякий случай, выложил сюда http://fayloobmennik.cloud/7291931

Може кто знает что это такое и зачем оно такое?!

Прозреваю майнер. И жрёт он GPU, от CPU линукс не тормозит.

legolegs ★★★★★
()
Ответ на: комментарий от Deleted

Linux-based системы - самые безопасные, говорили они. Кудах-тах-тах, на Линуксе невозможна малварь, кричали они...

anonymous
()
Ответ на: комментарий от anonymous

Под Desktop Linux вирусов почти нет, так как количество активных пользователей около 1%. Разработать новый вирус стоит очень дорого, это сотни тысяч зеленых, сотни человеко-часов, а выхлопа с этого около 0. Лучше хакнуть конкретный софт (wordpress, redis и т.д.) и поиметь доступ к серверам с ценной информацией.

anonymous
()
Ответ на: комментарий от anonymous

Прошу прощения за трюк с ником - не думал, что придется писать второе сообщение и просто сфакапил пароль.

Ни что не стоит на месте, вобщем балет продолжается, развивается, а я продолжаю деградировать. Машина всё та же с 4 процами 233мгц и 2+2 Gb ram ;)

https://forum.kasperskyclub.ru/index.php?showtopic=59834 касперский не только не детектит проблему, но и работает только с виндовсом :)

копи-пащу сюда текст

"

вызывает беспокойство майнер, который, как вы понимаете, я не заказывал

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND Er 1888 389.6 0.2 699500 9380 ? Tl 04:28 0:20 /tmp/9E53-753B-AD70-27F7/gvfsd

содержимое папки /tmp

9E53-753B-AD70-27F7 ssh-Qv3ZAANxD9sk systemd-private-1259351111ce4c12b5c8b4a13d989cb5-bluetooth.service-HHNPEf systemd-private-1259351111ce4c12b5c8b4a13d989cb5-rtkit-daemon.service-5LQvG8 Temp-cfd714c0-3fee-41ed-9fca-9f1591ce1ea6 tmp1_g0rcl0

ls /tmp/9E53-753B-AD70-27F7/ gvfsd

вирустотал детектирует как троян майнер

https://www.virustotal.com/#/file/0f0b6888717d8aebe88b945f1cd4019bf32ba94aa87...

названия меняет sleep, systemd, gvfsd (были еще какие-то с ibus, x11 итп)

соединяется tcp на 142.44.242.100:14444 6.ip-142-44-243.net:14444

запускается со стартом системы, грузит сильно.

в принципе простой kill его убивает, но периодически запускается одновременно несколько таких

перемонтируя /tmp с noexec повторный запуск блокируется

Важного на компе ничего нет, так что просто хочется разобраться откуда и как.

ps.

Доступ в интернет через «студенческую» сеть, неоднократно обнаруживался mitm, блокировки установления соединения по https, банальные «врезки» в кабель и иммитация wifi ap с целью получения пароля.

"

jorlkof
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.