Monero cryptocurrency malware

Bonjour,

Un de mes serveur web semble être victime d’un malware nommé “Monero cryptocurrency malware” si j’en crois cet article qui expose exactement les mêmes symptômes que j’observe sur mon serveur.

Seulement mes recherches pour m’en débarrasser n’ont pas vraiment abouties.
Je ne saisie pas trop les indications fournies en réponse dans le lien donné ci-dessous, qui ressemble plus à l’installation d’un logiciel de minage. Je ne vois pas en quoi son installation peut m’aider à désinstaller le malware…

Le serveur tourne sous Debian jessie 8.9 et est tenu à jour régulièrement.

Auriez-vous des pistes à me donner ?

En attendant, pour limiter la casse, j’ai protégé mon /tmp en empêchant toute exécution de scripts depuis ce dernier en suivant ce tuto : http://www.webhostgear.com/34.html

Salut
je lis ça sans vraiment connaitre mais la premiere chose

CPUMiner-Multi -> Wolf’s cpuminer-multi is no longer maintained le code date de 4 ans
ça renvoit ici


This is a multi-threaded multi-pool GPU miner with ATI GPU monitoring, (over)clocking and fanspeed support for scrypt-based cryptocurrency. It is based on cgminer by Con Kolivas (ckolivas), which is in turn based on cpuminer by Jeff Garzik (jgarzik).

je ne vois pas en quoi tout ça peut “desinfecter” une machine avec ces histoires de bitcoin

je ne suis que sur un simple PC et mon /tmp est en tmpfs

df -h
Sys. de fichiers Taille Utilisé Dispo Uti% Monté sur
udev               1,8G       0  1,8G   0% /dev
tmpfs              370M    6,2M  364M   2% /run
/dev/sda1           19G     15G  3,5G  81% /
tmpfs              1,9G     15M  1,8G   1% /dev/shm
tmpfs              5,0M       0  5,0M   0% /run/lock
tmpfs              1,9G       0  1,9G   0% /sys/fs/cgroup
tmpfs              1,9G    8,0K  1,9G   1% /tmp
/dev/sda6          268G    214G   41G  85% /home
tmpfs              370M     24K  370M   1% /run/user/1001
`

Alors de toute façon un reboot et bye-bye tout ce qui est en /tmp``

Ok, en fait, c’est surtout l’usage des options ‘noexec’, ‘nosuid’, qui te “blinde” ton tmp… rajoutes l’option ‘nodev’. :wink:

Pour le reste…

Merci pour le conseil, c’est ajouté :slight_smile:

je ne vois pas en quoi tout ça peut “desinfecter” une machine avec ces histoires de bitcoin

Oui c’est bien ce qui me semblait… c’est bien pour ça que je suis venu vous demander conseil :slight_smile:

Alors de toute façon un reboot et bye-bye tout ce qui est en /tmp

Sauf que c’est pas si simple car mon serveur ne redémarre pas très souvent !
Donc y a du temps de CPU disponible pour miner !