Я обнаружил какой-то странный процесс на моей машине centos 8, проверьте фото выше:
когда я печатаю cat /etc/passwd
Я также нигде не вижу пользователя 990 kinsing
процесс странный, потому что это тот же процесс, который в первую очередь заразил мою машину с помощью redis.
Как я могу найти это и выяснить, что происходит? Я уже удалил его из своей системы удалить redis также удалить имя пользователя redis, которое использовалось для запуска процесса майнера, но процесс, который выполняется в изображении, которое меня интересует, ясно, что у них все еще есть что-то в моей системе, как я могу узнать, где находятся файлы, запускающие этот процесс? и кто это имя пользователя 990, запускающее этот процесс.
Дополнительная информация, которую я только что нашел, относительно процесса:
ls -la /proc/41325/exe
lrwxrwxrwx 1 990 987 0 Feb 28 21:53 /proc/41325/exe -> '/var/tmp/kinsing (deleted)'
Мне кажется, что этот процесс уже был запущен (то есть в памяти), когда вы выполняли очистку и не убивали его, поэтому он все еще там.
Имя пользователя 990 означает, что пользователя больше не существует. Похоже, что у пользователя, связанного с удаленным Redus, был идентификатор пользователя 990.
Вы, конечно, можете завершить запущенный экземпляр командой kill 41325
Хотя невозможно гарантировать, что сервер был полностью не взломан, не было представлено никаких доказательств того, что пользователю удалось эскалировать себя до root, так что вы вполне можете быть в порядке. Вы можете запустить команду типа «find / -user 990», чтобы проверить, остались ли какие-либо следы этой учетной записи.