从今天早上开始,我开始注意到我的 Linux/mageia 6 变慢了。
我以 root 用户身份使用 top 命令进行检查,发现名为 xm64 的进程以 invitado 用户(西类牙语为访客用户)身份运行使用了 755% 的 CPU。
我杀了好几次那个进程,它突然又开始了。可疑的是没有人以访客用户 (invitado) 身份登录,计算机的唯一真实用户是我。
由于 invitado 是我的客人在我家时的帐户,我决定在再次杀死 xm64 进程之前删除该用户。
删除该用户后,xm64 进程再也没有出现。
我使用 grep -ri xm64/var/log 在/var/log 上搜索 xm64 信息,但没有找到任何信息。
现在我正在安装 clamav 和 maldetect 以搜索信息。
我在 google 上搜索,没有找到与 xm64 linux 相关的任何内容,但是当我只查找 xm64 时,我发现了有关 Windows XM64.EXE 上的木马病毒的信息。
这是我开始使用 Linux 25 年来第一次怀疑我的 Linux 机器被感染了。
我责怪自己,因为我使用字典密码创建了那个 guest 用户......我保证再也不会这样做了。
谁能确认这是 Linux 上的恶意软件还是其他问题?
最佳答案
今天,冷静下来,我找到了信息:
[root@tarfful etc]# cd /var/
[root@tarfful var]# grep -ri xm64 *
Coincidencia en el fichero binario lib/mlocate/mlocate.db
Coincidencia en el fichero binario local/mga_rpms/core/glibc-devel-2.22-29.mga6.x86_64.rpm
Coincidencia en el fichero binario log/journal/235b4f4f2b94420e852900b7e0210a05/system.journal
log/security/unowned_user.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.diff:+/tmp/.zx/xm64
log/security/unowned_user.weekly.diff:+/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.today:/tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown owner for files : /tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff: - Added Unknown group for files : /tmp/.zx/xm64
Coincidencia en el fichero binario log/squid/access.log.1
mail/postfix:/tmp/.zx/xm64
mail/postfix:/tmp/.zx/xm64
mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:- Added Unknown owner for files : /tmp/.zx/xm64
spool/mail/postfix:- Added Unknown group for files : /tmp/.zx/xm64
[root@tarfful var]#
现在我有了/tmp/.zx/xm64 的副本
我将该信息上传到 https://www.clamav.net/reports/malware/
我还找到了/tmp/.zx 其他脚本和二进制文件:
[root@tarfful spool]# tree /tmp/.zx/
/tmp/.zx/
├── a
├── cron.d
├── h32
├── h64
├── run
├── update
├── x
├── xm32
└── xm64
当我修改 crontab spool 时,我发现:
[root@tarfful cron]# cd /var/spool/cron/
[root@tarfful cron]# ls
invitado
[root@tarfful cron]# cat invitado
* * * * * /tmp/.zx/update >/dev/null 2>&1
所以木马每分钟都会运行更新脚本,它说:
[root@tarfful spool]# cat /tmp/.zx/update
#!/bin/bash
DIR=$( cd ${0%/*} && pwd )
ps aux | grep ALIENS_z | grep -v grep
if [ $? = 0 ]
then
echo
else
cd $DIR
./run &>/dev/null &
#./run &
fi
exit 0
为了删除木马,我以root用户执行了以下步骤:
ps -xau | grep xm64
kill -9 [PID OF xm64]
rm /var/spool/cron/invitado
rm -rf /tmp/.zx
关于linux - xm64 填满了我在 Linux Mageia 6 中的处理器资源,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56412000/