Когда то давно эта тема уже тут была. И уязвимость была устранена.
Но с сентября этого года мой хостер постоянно мне сообщал что уж долго LA CPU превышает 5-6 при 4-ядрах.
Долго копался, рылся, но так и не нашел сначала что грузит.
Поддержка не смогла выявить что нагружает. Разговора и подозрений на зловред не было )
Только спустя время я задумался над - Грузит хитро, когда заходишь по ssh нагрузка прекращается
Стал рыть и нашел такие вещи:
CRON 11 * * * * /root/.config/cron/perfcc - VIRUSTOTAL смотрим
Так была определены файлы связанные с датой влияния
find / -newermt "2023-09-14" ! -newermt "2023-09-16" то есть 15 сентября
РЕЗУЛЬТАТЫ:
/etc/profile - зловредом добавлена строка export PATH=/bin/.local/bin:$PATH скрытая директория на которую ругнулся rkhunter --check как Warning
/bin/.local/bin
ls -la /usr/bin/.local/bin/
total 88
drwxr-xr-x 2 root root 4096 Dec 28 12:11 .
drwxr-xr-x 3 root root 4096 Sep 15 16:02 ..
-rwxr-xr-x 1 root root 15728 Dec 22 17:27 crontab VIRUSTOTAL смотрим
-rwxr-xr-x 1 root root 15952 Dec 22 17:27 htop
-rwxr-xr-x 1 root root 15504 Dec 22 17:27 ldd VIRUSTOTAL смотрим
-rwxr-xr-x 1 root root 15608 Dec 22 17:27 lsof
-rwxr-xr-x 1 root root 15880 Dec 22 17:27 top VIRUSTOTAL смотрим
/etc/systemd/system/timers.target.wants
/etc/systemd/system/timers.target.wants/kmodaudit.timer создан сервис kmodaudit.service
[Unit]
Description=Kernel module perf audit and reporting
Wants=kmodaudit.timer
[Service]
Type=oneshot
RemainAfterExit=yes
Environment=FSYSD=sd
ExecStart=/bin/perfcc шалунишка который работает на своего хозяина
StandardOutput=null
StandardError=null
TimeoutStopSec=1s
TimeoutStartSec=1y
[Install]
WantedBy=multi-user.target
Повязанные одним делом файлы, которые по другим проверкам VIRUSTOTAL связаны с perfcc
2023-10-03 2023-10-03 16:36:02 UTC libgcwrap.so
2023-10-04 2023-10-04 02:49:13 UTC lsof
2023-12-04 2023-12-04 07:48:09 UTC perfcc
2023-10-19 2023-10-19 05:48:34 UTC top
2023-11-09 2023-11-09 07:31:55 UTC crontab
2023-10-09 2023-10-09 07:34:19 UTC perfcc.bin
2023-11-09 2023-11-09 07:31:53 UTC strace
2023-10-05 2023-10-05 10:57:01 UTC wizlmsh
2023-12-04 2023-12-04 20:11:25 UTC edac-poller
2023-09-24 2023-09-24 22:07:05 UTC htop
2023-11-09 2023-11-09 07:31:54 UTC ldd
Также был найден файл и каталог traffmonetizer пахнет вот этим сервисом заработка
ls -la /root/.config/traffmonetizer/
total 12
drwxr-xr-x 2 root root 4096 Sep 16 20:48 .
drwx------ 10 root root 4096 Sep 26 14:40 ..
-rw-r--r-- 1 root root 65 Dec 27 20:46 storage.json в котором ID токен того кому пойдут деньги за работу моего сервера
Буду дополнять по мере дальнейших находок. Так как я думаю история с моим сервером в этом плане еще не окончена
Будьте бдительны!
