xm64在Linux 6中填充我的处理器资源

Question

从今天早上开始，我开始注意到我的Linux/mageia 6的速度很慢。

我使用top命令作为根用户进行检查，发现一个名为xm64作为invitado用户运行的进程(西班牙语中的来宾用户)占用了我的755%的CPU。

我杀了好几次这个过程，它突然又开始了。令人怀疑的是，没有人以来宾用户的身份登录(受邀者)，唯一真正的电脑用户是我。

由于invitado是我的客人在我家时的一个帐户，所以我决定在再次杀死xm64进程之前删除这个用户。

删除该用户后，xm64进程再也不会出现。

我使用xm64搜索/var/log上的grep -ri xm64 /var/log信息，但没有发现任何信息。

现在，我正在安装clamav和maldetect，以便搜索信息。

我在谷歌上搜索，没有发现任何与xm64 linux相关的内容，但当我只查找xm64时，我就会在WindowsXM64.EXE上找到有关特洛伊木马病毒的信息。

这是25年来我第一次使用Linux，我怀疑我的Linux机器被感染了。

我责怪自己，因为我用字典密码创建了那个来宾用户.我保证再也不这么做了。

有人能确认我这是Linux上的恶意软件还是另一个问题吗？

Answer 1

今天，我冷静下来，找到了以下信息：

[root@tarfful etc]# cd /var/
[root@tarfful var]# grep -ri xm64 *
Coincidencia en el fichero binario lib/mlocate/mlocate.db
Coincidencia en el fichero binario local/mga_rpms/core/glibc-devel-2.22-29.mga6.x86_64.rpm
Coincidencia en el fichero binario log/journal/235b4f4f2b94420e852900b7e0210a05/system.journal
log/security/unowned_user.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.diff:+/tmp/.zx/xm64
log/security/unowned_user.weekly.diff:+/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.today:/tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff:     -   Added Unknown owner for files : /tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff:     -   Added Unknown group for files : /tmp/.zx/xm64
Coincidencia en el fichero binario log/squid/access.log.1
mail/postfix:/tmp/.zx/xm64
mail/postfix:/tmp/.zx/xm64
mail/postfix:-   Added Unknown owner for files : /tmp/.zx/xm64
mail/postfix:-   Added Unknown group for files : /tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:-   Added Unknown owner for files : /tmp/.zx/xm64
spool/mail/postfix:-   Added Unknown group for files : /tmp/.zx/xm64
[root@tarfful var]#

现在我有了/tmp/..zx/xm64 64的副本。

我把这个信息上传到https://www.clamav.net/reports/malware/

我还插入/tmp/..zx其他脚本和二进制文件：

[root@tarfful spool]# tree /tmp/.zx/
/tmp/.zx/
├── a
├── cron.d
├── h32
├── h64
├── run
├── update
├── x
├── xm32
└── xm64

当我修改crontab假脱机时，我发现：

[root@tarfful cron]# cd /var/spool/cron/
[root@tarfful cron]# ls
invitado
[root@tarfful cron]# cat invitado 
* * * * * /tmp/.zx/update >/dev/null 2>&1

因此，特洛伊木马程序每分钟运行更新脚本，其中写道：

[root@tarfful spool]# cat /tmp/.zx/update 
#!/bin/bash

DIR=$( cd ${0%/*} && pwd )
ps aux | grep ALIENS_z | grep -v grep

if [ $? = 0 ]
then
echo
else
cd $DIR
./run &>/dev/null &
#./run &
fi

exit 0

为了删除特洛伊木马，我作为root用户执行了以下步骤：

ps -xau | grep xm64
kill -9 [PID OF xm64]
rm /var/spool/cron/invitado
rm -rf /tmp/.zx

Answer 2

我有同一个特洛伊木马，它位于系统上的两个位置。

/tmp 
/var/tmp

除了xm64，程序"goauto“在顶部运行，用来自动启动"dtsm”程序，这似乎是一个挖掘工具，但我不确定。

它已经在/var/spool/cron文件夹中放置了多个crontab文件中的cronjob行，所以一定要检查它们。

我做了以下工作：

• 删除crontab行
• 杀死"xm64“、"goauto”和所有正在运行的"dtsm“进程
• 删除了/tmp和/var/tmp文件夹中的文件(搜索所有具有"locate“或”Locatexm64“的位置)
• 将"139.59.28.207“IP添加到IPTABLES中，这样它就会被阻塞(一些脚本从该IP中得到编辑)。

似乎它已经停止了这个问题。

我现在正在运行翻盖扫描来完成其他的清理工作(如果有的话)，并且必须首先弄清楚它是如何在服务器上结束的。