Bonjour,
je constate que sur une VM, j'ai un processus "xmrig" qui consomme presque tout le CPU. Et un autre, avec un nom pas très orthodoxe "38b3eff8b" qui consomme presque le reste.
Une partie de la littérature, sur internet, parle de virus ... mais je ne trouve rien de vraiment tranché.
Quel est votre avis, s'il vous plaît ?
D'avance, merci pour vos lumières.
Christophe
Présence de xmrig qui utilise tout le CPU
Related questions
- Proxmox VM accès internet impossible
53254 
19.11.2016 12:11
- Spam et IP bloquée
50741 12.12.2016 11:53
- il y a quelqu'un ?
49530 15.12.2025 17:01
- Mise en place de VM avec IP publique sur Proxmox 6 [RESOLU]
48757 30.04.2020 17:12
- SSD NVMe Soft Raid ou SSD SATA Hard Raid
48256 29.06.2021 23:29
- Port 25 bloqué pour spam à répétition
45652 28.02.2018 13:39
- Mise à jour PHP sur Release 3 ovh
44846 11.03.2017 17:43
- Identification carte réseau
43366 05.12.2025 10:09
- Connection smtp qui ne marche plus : connect error 10060
43266 12.04.2019 10:10
- Partition sur le disque de l'OS ESXI
42999 09.05.2017 14:33
tu mines ou non ? (https://github.com/xmrig/xmrig)
si non, oui je verrais bien serveur craqué
en attendant, tu peux killer ces processus?
réinstaller le système?
Non, je ne mine pas, délibérément.
J'ai killé les processus, mais ils reviennent.
Et la réinstallation du système est la dernière chose que je souhaite faire car la VM vit et a été installée il y a longtemps et pas toujours gérée par moi !!!
ça confirmerait que ton système ou ta VM est compromise
il va falloir réparer tout ça.... :/
bon courage
Machine infectée = machine à réinstaller.
Oui, en principe une machine vérolée jusqu'au trognon (mais l'est-elle vraiment ?)
c'est la réinstallation obligatoire. Disons que c'est en général la manière la plus rapide
de se retrouver dans une situation saine.
Si la réinstallation n'est pas du tout envisageable, alors une (éventuellement) longue
enquête t'attend :
1) comprendre par quelle faille le pirate s'est introduit et boucher cette faille
2) dans un second temps seulement, supprimer tous les scripts pirates installés
(en RAM et dans le disque dur)
Faire le 2 sans faire le 1 au préalable, c'est mettre le pirate dehors par la fenêtre
... en laissant la porte principale grande ouverte, c'est certain qu'il va revenir :-)
De nos jours, les points d'entrée les plus courants sont des sites web utilisant
des CMS pas à jour, des plugins/addons présentant des failles, etc.
Voir sous quel utilisateur Unix tournent ces scripts pirates pourrait déjà te donner
une première piste à suivre.
En effet il est possible que seul un user nonroot ait été infecté, et supprimer l'utilisateur rend la machine plus ou moins propre.
Il est permis de redouter une version préhistorique de tout le reste puisque les virus et trojans s'y installent.
En s'assurant qu'il sera beaucoup plus aggressif dans sa prochaine intrusion !
[quote]En effet il est possible que seul un user nonroot ait été infecté, et supprimer l'utilisateur rend la machine plus ou moins propre.
[/quote]
Oui, c'est une possibilité mais je pensais surtout à l'idée que ça puisse permettre de savoir
quel site web a été piraté (s'il y en a plusieurs) et à partir de là, quel(s) fichier(s) de log Apache
examiner afin de repérer la porte d'entrée du pirate et de la refermer.
[quote]
Il est permis de redouter une version préhistorique de tout le reste puisque les virus et trojans s'y installent.
[/quote]
Oui, c'est souvent le point faible, une non mise à jour des scripts PHP constituant le site web.
Tout à fait.
Et si jamais le pirate a accès au compte root, ça peut même se terminer par un magnifique :
# rm -rf /
:-]
Dans le cas présent, on peut espérer pour lui que ce ne sont "que" des scripts automatiques,
auquel cas ce ne sera seulement un nouveau piratage identique au premier.
ça c'est le moins pire, tu remontes les backups que tu as sûrement dans un coin.
Le plus pire c'est quand ton zoli serveur sert de base lance-missiles, DDos, spam, attaques et C&C à ton insu.
Des backups ? C'est nouveau ? ça sert à quoi :-D ?
On plaisante mais c'est vrai que souvent les backups sont absents ou datent de Mathusalem.
[quote]
Le plus pire c'est quand ton zoli serveur sert de base lance-missiles, DDos, spam, attaques et C&C à ton insu.
[/quote]
Effectivement, ce que je vois le plus passer ce sont des envois massifs de spams
(et après, pour déblacklister l'adresse IP utilisée ... que du bonheur)
La dernière fois que je n'étais pas parvenu à boucher la faille, l'attaquant à récupéré mon IP et a lancé un DDoS sur mon IP résidentielle... Et vous savez quoi ? De tous les serveurs qui m'agressaient, ce sont ceux d'OVH qui étaient le plus stables ! (et aussi ceux qui ont été coupé le plus rapidement)
Comme quoi OVH font de bons serveurs stables ... comment ça, ce n'est pas le problème :-D ?
Là tu es tombé sur un cas quand même 8-]