Linux-сервер, скомпрометированный майнером Monero (xmrig) – как определить точку входа и постоянство [закрыто]

Linux-сервер, скомпрометированный майнером Monero (xmrig) – как определить точку входа и постоянство [закрыто] ⇐ Linux

1 сообщение • Страница 1 из 1

Anonymous

Linux-сервер, скомпрометированный майнером Monero (xmrig) – как определить точку входа и постоянство [закрыто]

Цитата

Сообщение Anonymous » 25 фев 2026, 12:51

Я обнаружил, что мой Linux-сервер был взломан и использовался для майнинга криптовалюты Monero (XMR) без моего согласия.

Наблюдаемое поведение

Загрузка ЦП внезапно резко возрастает до 180–200 %
Запускается несколько неизвестных процессов (например, xmrig, rbot)
Процессы возобновляются после завершения
Трафик для майнинга подключается к общедоступным пулам Monero
Майнер запускается под пользователем без полномочий root, а не через Node.js или PM2

Найдены доказательства

Двоичные файлы Miner присутствуют в:
Код: Выделить всё
```
/tmp
```
Домашний каталог пользователя

[*]Конфигурация майнинга (

Код: Выделить всё

config.json

), указывающие на пулы Monero

[*]Подозрительные системные таймеры не обнаружены

[*]Нет очевидных заданий cron (корневой crontab выглядит чистым)

То, что я уже проверил

Код: Выделить всё
```
ps aux
```
, сверху, сверху
Код: Выделить всё
```
crontab -l
```
(root + пользователь)
Код: Выделить всё
```
systemctl list-timers
```
Код: Выделить всё
```
/tmp
```
, /dev/shm
Журналы SSH (без явных попыток перебора)

Среда

Ubuntu Linux (облачный VPS)
Приложение Node.js / Next.js
MongoDB работает
Доступ по SSH ограничен, но сервер доступен в Интернете

Подробнее здесь: https://stackoverflow.com/questions/798 ... ry-point-a

1772013068

Anonymous

Я обнаружил, что мой Linux-сервер был взломан и использовался для [b]майнинга криптовалюты Monero (XMR)[/b] без моего согласия.
[img]https://i.sstatic.net/0bM4QzuC.png[/img]

[img]https://i.sstatic.net/mLa2ep9D.png[/img]

[b]Наблюдаемое поведение[/b]
[list]
[*]Загрузка ЦП внезапно резко возрастает до [b]180–200 %[/b]

[*]Запускается несколько неизвестных процессов (например, xmrig, rbot)

[*]Процессы возобновляются после завершения

[*]Трафик для майнинга подключается к общедоступным пулам Monero

[*]Майнер запускается под [b]пользователем без полномочий root[/b], а не через Node.js или PM2

[/list]
[b]Найдены доказательства[/b]
[list]
[*]Двоичные файлы Miner присутствуют в:

[code]/tmp[/code]

[*]Домашний каталог пользователя

[/list]

[*]Конфигурация майнинга ([code]config.json[/code]), указывающие на пулы Monero

[*]Подозрительные системные таймеры не обнаружены

[*]Нет очевидных заданий cron (корневой crontab выглядит чистым)


[b]То, что я уже проверил[/b]
[list]
[*][code]ps aux[/code], сверху, сверху

[*][code]crontab -l[/code] (root + пользователь)

[*][code]systemctl list-timers[/code]

[*][code]/tmp[/code], /dev/shm

[*]Журналы SSH (без явных попыток перебора)

[/list]
[b]Среда[/b]
[list]
[*]Ubuntu Linux (облачный VPS)

[*]Приложение Node.js / Next.js

[*]MongoDB работает

[*]Доступ по SSH ограничен, но сервер доступен в Интернете

[/list] 

Подробнее здесь: [url]https://stackoverflow.com/questions/79896054/linux-server-compromised-by-monero-xmrig-miner-how-to-identify-entry-point-a[/url]