Регистрация Войти
Рейтинг:0
avatar Ubuntu

Suspected exploit log_rotari2

флаг cn
Boris Zinchenko

Recently performance of my Ubuntu 18 server heavily degraded. I found in process list the following process, which consumes all CPU of my server.

./log_rotari2 --coin monero -o suxsuxsux.com:3333 -u linux -p linux --nicehash --donate-level=1 --cpu-priority=5 --cpu-no-yield -k -B

Maybe somebody knows what it is and how to remove this process? Sorry my knowlege of Ubuntu is very limited. Thank you.

Update: System is Ubuntu Linux 18.04.5, Linux 4.15.0-156-generic on x86_64

Following valuable comments, I found this extra info about this process.

Current dir Directory   4096    2   /  
Root dir    Directory   4096    2   / 
Program code    Regular file    6289312 19267940    /tmp/xmrig-6.14.1/log_rotari2 (deleted) 
2u  Regular file    1807    19141142    /tmp/#19141142 (deleted)

It seems that the process has been created and then its executable was deleted from the disk. I cannot even find executable file.

156
0 + 0
guiverc avatar
флаг cn
guiverc
Убунту 18? Нет такого выпуска, так вы имеете в виду, что это серверный продукт Ubuntu Core 18? Продукты Ubuntu, использующие формат *год*, отличаются от более распространенных продуктов формата *год.месяц*.
1
Ответить
флаг cn
Rinzwind
https://forums.docker.com/t/redis-alpine-malware/105143 https://blog.aquasec.com/container-attacks-on-redis-servers
4
Ответить
флаг cn
Rinzwind
Правильный ответ только один: переустановить с чистого установочного носителя. Удаление нити не является решением. Ваша учетная запись администратора должна считаться открытой, и в вашей системе может быть скрипт, скрытый в другом скрипте, который ждет, пока вы его удалите :)
4
Ответить
Alejandro avatar
флаг jp
Alejandro
Это похоже на какого-то бота для майнинга криптовалюты, но его сложно оценить без более подробной информации. Если вы знаете «pid» процесса (например, из команды «top»), вы можете найти путь к исполняемому файлу, запустив «sudo ls -l /proc/xxxxxx/exe», где «xxxxxx» — это «pid». ` процесса. Затем вы сможете удалить исполняемый файл. (*Тем не менее* я согласен с @Rinzwind и рекомендую чистую установку.)
1
Ответить
флаг cn
Rinzwind
@Alejandro, это действительно похоже на майнер, но две ссылки используют один и тот же `log_rotari2` для выполнения ddos ​​:) И это заставляет меня поверить, что это больше, чем майнер.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.