Кажется, у меня есть хост Linux (CentOS), зараженный каким-то вредоносным ПО.
Существует исполняемый называется cpubal й сти , который был создан в / TMP /. Кажется, что он запускается сам и потребляет 100% ресурсов процессора, делая хост очень медленным.
Я могу легко прекратить PID и затем вызвать файл преступника, но он возвращается через день или около того. Я не вижу записей в crontab, которые его запускают.
Я не совсем уверен, что еще я должен делать, есть ли совет. Поиск в Google, похоже, не слишком связан с «cpubal e nce», однако я обнаружил файл в списке вредоносных программ под названием «cpubal a nce», который был того же размера. (Другой MD5, хотя).
Я запустил clamscan, и он обнаружил файл как:
- /tmp/cpubalence: Unix.Malware.Агент-1755468
Я сканировал весь компьютер, и он также нашел:
- {SNIP}/sshd: Unix.Trojan.Агент-37008 НАЙДЕН
- {SNIP}/jbudp: Unix.Trojan.Агент-37008 НАЙДЕН
- {SNIP}/console.war: Java.Malware.Агент-1775460 НАЙДЕН
Console.war - это файл Java, связанный с программным обеспечением с открытым исходным кодом, который я использую на хосте, он изначально не обнаруживался при сканировании, но теперь (несколько дней спустя) он отображается как зараженный файл. Возможно ли это красная сельдь?
Скорее всего, я перестрою машину, так как это будет самый безопасный вариант, чтобы убрать угрозу. Однако я хотел бы знать больше о том, чем я заразился и как это произошло.