xm64 заполняет мой ресурс процессора в Linux Mageia 6

Question

С этого утра я начал замечать медлительность в моем Linux / mageia 6.

Я проверил, используя команду top от имени пользователя root, и обнаружил, что процесс с именем xm64 работает как invitadouser (guest user на испанском языке) использовал 755% моего процессора.

Я несколько раз убивал этот процесс, и он неожиданно начинался снова.Подозрительным было то, что никто не вошел в систему как гость (invitado), единственным реальным пользователем компьютера был я.

Поскольку invitado - это учетная запись только для моих гостей, когда они находятся у меня дома,Я решил стереть этого пользователя, прежде чем снова уничтожить процесс xm64.

После удаления этого пользователя процесс xm64 больше не появлялся.

Я искал информацию xm64 в / var / logиспользуя grep -ri xm64 /var/log, но ничего не было найдено.

Теперь я устанавливаю clamav и maldetect для поиска информации.

Я искал в Google и не нашел ничего, связанного с xm64 linux , но когда я ищу только xm64 , я нахожу информацию о троянском вирусе в windows XM64.EXE.

Это первый раз за 25 лет, с тех пор как яЯ начал винить Linux, который, как я подозреваю, заражен моим Linux-компьютером.

Я виню себя, потому что создал этого гостевого пользователя, используя пароль словаря ... Я обещаю никогда больше этого не делать.

Может ли кто-нибудьrm мне, если это вредоносная программа в Linux или это другая проблема?

Answer 1

Сегодня, успокоившись, я нахожу информацию с:

[root@tarfful etc]# cd /var/
[root@tarfful var]# grep -ri xm64 *
Coincidencia en el fichero binario lib/mlocate/mlocate.db
Coincidencia en el fichero binario local/mga_rpms/core/glibc-devel-2.22-29.mga6.x86_64.rpm
Coincidencia en el fichero binario log/journal/235b4f4f2b94420e852900b7e0210a05/system.journal
log/security/unowned_user.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.diff:+/tmp/.zx/xm64
log/security/unowned_user.weekly.diff:+/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/mail.weekly.today:/tmp/.zx/xm64
log/security/unowned_group.weekly.today:/tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff:     -   Added Unknown owner for files : /tmp/.zx/xm64
log/security.log:jun 02 04:22:01 tarfful diff:     -   Added Unknown group for files : /tmp/.zx/xm64
Coincidencia en el fichero binario log/squid/access.log.1
mail/postfix:/tmp/.zx/xm64
mail/postfix:/tmp/.zx/xm64
mail/postfix:-   Added Unknown owner for files : /tmp/.zx/xm64
mail/postfix:-   Added Unknown group for files : /tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:/tmp/.zx/xm64
spool/mail/postfix:-   Added Unknown owner for files : /tmp/.zx/xm64
spool/mail/postfix:-   Added Unknown group for files : /tmp/.zx/xm64
[root@tarfful var]#

А теперь у меня есть копия /tmp/.zx/xm64

Я загрузил эту информацию в https://www.clamav.net/reports/malware/

Я также добавляю в /tmp/.zx другие скрипты и двоичные файлы:

[root@tarfful spool]# tree /tmp/.zx/
/tmp/.zx/
├── a
├── cron.d
├── h32
├── h64
├── run
├── update
├── x
├── xm32
└── xm64

Когда я пересмотрел катушку crontab, я обнаружил:

[root@tarfful cron]# cd /var/spool/cron/
[root@tarfful cron]# ls
invitado
[root@tarfful cron]# cat invitado 
* * * * * /tmp/.zx/update >/dev/null 2>&1

Таким образом, троян каждую минуту запускает скрипт обновления, где он говорит:

[root@tarfful spool]# cat /tmp/.zx/update 
#!/bin/bash

DIR=$( cd ${0%/*} && pwd )
ps aux | grep ALIENS_z | grep -v grep

if [ $? = 0 ]
then
echo
else
cd $DIR
./run &>/dev/null &
#./run &
fi

exit 0

Чтобы удалить троян, я сделал от имени пользователя root следующие шаги:

ps -xau | grep xm64
kill -9 [PID OF xm64]
rm /var/spool/cron/invitado
rm -rf /tmp/.zx