CentOS 7 악성 코드? - 사용자 "impress+"는 높은 CPU 소비("cron")로 명령을 실행합니다.

불행히도 내 서버는감염된...=\

Chkrootkit 보안 유틸리티 출력의 일부(http://www.chkrootkit.org/)...

참고: 해당 정보는 시스템 분석을 통해 확인되었습니다!

[...]
Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed
/tmp/.X19-unix/.rsync/c/lib/64/libc.so.6
/tmp/.X19-unix/.rsync/c/lib/64/libpthread.so.0
/tmp/.X19-unix/.rsync/c/lib/64/tsm
/tmp/.X19-unix/.rsync/c/lib/32/libc.so.6
/tmp/.X19-unix/.rsync/c/lib/32/libpthread.so.0
/tmp/.X19-unix/.rsync/c/lib/32/tsm
/tmp/.X19-unix/.rsync/c/lib/arm/libc.so.6
/tmp/.X19-unix/.rsync/c/lib/arm/libpthread.so.0
/tmp/.X19-unix/.rsync/c/lib/arm/tsm
/tmp/.X19-unix/.rsync/c/slow
/tmp/.X19-unix/.rsync/c/tsm
/tmp/.X19-unix/.rsync/c/watchdog
/tmp/.X19-unix/.rsync/c/run
/tmp/.X19-unix/.rsync/c/go
/tmp/.X19-unix/.rsync/c/tsm32
/tmp/.X19-unix/.rsync/c/tsmv7
/tmp/.X19-unix/.rsync/c/start
/tmp/.X19-unix/.rsync/c/tsm64
/tmp/.X19-unix/.rsync/c/stop
/tmp/.X19-unix/.rsync/c/v
/tmp/.X19-unix/.rsync/c/golan
/tmp/.X19-unix/.rsync/c/dir.dir
/tmp/.X19-unix/.rsync/c/n
/tmp/.X19-unix/.rsync/c/aptitude
/tmp/.X19-unix/.rsync/init
/tmp/.X19-unix/.rsync/init2
/tmp/.X19-unix/.rsync/initall
/tmp/.X19-unix/.rsync/a/anacron
/tmp/.X19-unix/.rsync/a/run
/tmp/.X19-unix/.rsync/a/stop
/tmp/.X19-unix/.rsync/a/a
/tmp/.X19-unix/.rsync/a/cron
/tmp/.X19-unix/.rsync/a/init0
/tmp/.X19-unix/.rsync/b/run
/tmp/.X19-unix/.rsync/b/stop
/tmp/.X19-unix/.rsync/b/a
/tmp/.X19-unix/.rsync/1
/tmp/.X19-unix/.rsync/dir.dir
[...]

취한 조치:감염된 서버를 파괴하세요. 로컬 인프라에서 "루트" 비밀번호를 변경하십시오. "root"로 실행할 수 있는 사용자의 비밀번호를 변경합니다.

힌트:Chkrootkit은 다음 명령으로 설치 및 구성됩니다.개인 턱시도도구(https://github.com/eduardolucioac/private_tux). 보안 유틸리티를 설치 및 구성하고 다양한 보안 진단을 자동으로 수행합니다.

공개: 저는 private_tux의 저자입니다.