継続的にビットコインを採掘し、インスタンスの処理能力を使用するマルウェアをec2インスタンスで発見しました。プロセスを正常に識別しましたが、削除または終了できません。
このコマンドを実行したところ、
watch "ps aux | sort -nrk 3,3 | head -n 5"
私のインスタンスで実行されている最初の5つのプロセスが表示されました。プロセス名が「」であることを確認しました。バシド'これはCPUの30%を消費します。プロセスは次のとおりです。
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
kill -9 process_idコマンドを使用してプロセスを終了しました。 5秒後にプロセスが再開されます。
ベストアンサー1
ソフトウェアをインストールしていない場合、またはクラウドインスタンスが破損していると思われる場合:オフラインにしてから削除し、最初から再構築してください(ただし、まず下のリンクを読んでください)。それはもはやあなたのものではなく、あなたはもはやそれを信じることができません。
バラより「感染したサーバーを処理する方法」ServerFault でコンピュータが破損している場合の対処方法と操作方法の詳細をご覧ください。
上記のリストに記載されていることと思うことに加えて、あなたが誰であるか、どこにいるかによって、次のことが発生する可能性があることに注意してください。報告する法的義務ローカル/中央ITセキュリティチーム/従業員および/または組織内の当局(おそらく特定の期間内でも)。
たとえば、スウェーデンでは(2015年12月から)、すべての州立機関(大学など)がIT関連事故を24時間以内に報告する義務があります。あなたの組織には、これを行う方法に関する書面による手続きがあります。