Вам необходимо отредактировать свою группу безопасности для главного и подчиненного устройств и ограничить доступ к порту 8088, который вы используете для мониторинга приложений пряжи и их журналов.Диспетчер ресурсов также принимает приложения пряжи для отправки и запуска через API остальных.нажмите здесь для получения дополнительной информации о REST API RM.Хакер использует этот порт для отправки приложения пряжи, которое упаковывает скрипт оболочки для загрузки бинарных файлов monero и помещает их в такое место, как "/ var / tmp / java", и запускает их.Пряжа думает, что это приложение, но оно будет запускать программное обеспечение для майнинга.Но это не Java, если вы запустите аргумент команды --version с ним, вы получите результат ниже
[hadoop@ip-172-31-28-26 ~]$ /var/tmp/java --version
XMRig 2.6.2
built on Jun 24 2018 with GCC 6.3.0
features: 64-bit AES
Плюс, если вы найдете файл "/var/tmp/w.conf", откройте файл ивы можете увидеть сервер моно кошелька, который он использует, его адрес кошелька и пароль и т. д. см. ниже пример, который я нашел на своем экземпляре emr
{
"algo": "cryptonight",
"background": true,
"donate-level": 1,
"log-file": null,
"print-time": 60,
"max-cpu-usage": 95,
"pools": [
{
"url": "stratum+tcp://163.172.205.136:3333",
"user": "46CQwJTeUdgRF4AJ733tmLJMtzm8BogKo1unESp1UfraP9RpGH6sfKfMaE7V3jxpyVQi6dsfcQgbvYMTaB1dWyDMUkasg3S",
"pass": "h",
"variant": -1
}
],
"api": {
"port": 0,
"access-token": null,
"worker-id": null
}
}
Чтобы подвести итог, следуйте нижешаги, чтобы решить эту проблему.
- Удалить публичный доступ к любому порту, который не защищен.Особенно 8088
- проверьте ваш crontab и удалите все записи, которые вы не идентифицируете
- Удалите содержимое внутри каталогов, например "/ var / tmp", но убедитесь, что они не ваши
- Используйте topкоманда, чтобы увидеть pid процессов, которые принимают все процессоры и убить их
Выполнение вышеуказанных шагов гарантирует, что программа майнинга не запустится снова