Процесс крипто-майнинга продолжает появляться на сервере

Недавно я начал использовать удаленный сервер Ubuntu для разработки и тестирования машины. Однако хостинг-провайдер сообщил, что запущен процесс крипто-майнинга, и ему пришлось отключить сервер.

Не было никаких журналов или каких-либо данных, которые могли бы идентифицировать этот процесс или что-либо, что могло бы помочь выяснить, что произошло. Потом повторилось, но на этот раз засняли вот это:

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND  
246369 redis     20   0   13928  11444    908 S 746.7   0.2  62801:13 /tmp/kmv --pool pool.hashvault.pro:80 --username TRTLv2TW8sjC5LmSpiDdRZ2ndnEwPRpJ9Lgz3vgGY2CTSLkLeKAUFMefEeT6idQBxzSLsXfAvAqfhH5zkxMM3sHu2RL8xh1n5Pg --password x --algorithm chukwa_v2

Единственными открытыми портами являются порт Redis, 6379.

admin@nicotine2:~$ статус sudo ufw
Статус: активен

К действию от
-- ------ ----
22 РАЗРЕШИТЬ ВСЕГДА
9200 ЗАПРЕТ В любом месте
6379/tcp РАЗРЕШИТЬ Везде
22 (v6) РАЗРЕШИТЬ ВСЕГДА (v6)
9200 (v6) ЗАПРЕТИТЬ ВСЕГДА (v6)
6379/tcp (v6) РАЗРЕШИТЬ везде (v6)

Когда я проверял, не было /tmp/кмв папка в любом месте, где ее можно найти. Это случилось во 2-й раз.

Любые подсказки, рекомендации или предложения, чтобы избежать этого?

Redis имеет хорошо известную уязвимость удаленного выполнения кода, если вы не включите аутентификацию.

В этой статье содержится дополнительная информация по вашей конкретной проблеме.

https://www.trendmicro.com/en_gb/research/20/d/exposed-redis-instances-abused-for-remote-code-execution-cryptocurrency-mining.html

Действительно хороший вопрос: что вы установили?

Есть большая вероятность, что вы установили приложение, зараженное или уязвимое для этого программного обеспечения для криптомайнинга. Это может быть и в Докер-образы.

Поэтому удалите все (или переустановите пустой образ, что может быть даже лучше) и следите за своим сервером во время установки. Вы должны увидеть огромный всплеск загрузки ЦП при установке зараженного программного обеспечения для криптомайнинга.

РЕДАКТИРОВАТЬ: Если вы установили более старую и уязвимую версию ElasticSearch (или неофициальный образ Docker), ответ довольно очевиден: установите последнюю официальную версию с исправлениями безопасности.

РЕДАКТИРОВАТЬ 2: У TheHermit есть правильный ответ здесь, так как это процесс redis, в котором размещается эксплойт криптомайнинга.

Что ж, для тех, кто разрешает SSH на порту 22 из любого места, это угроза безопасности, рекомендуем ограничить его IP-адресом, который используется для управления, и изменить порт 22 по умолчанию на что-то в более высоком диапазоне. Нам нужно увидеть больше процессов Сервера, Redis должен быть настроен с Auth.