Описание проблемы:
На сервере в домашней директории пользователя cz32301 (/home/c/ХХХХХХ/) регулярно создаются вредоносные файлы:
/home/c/ХХХХХХ/.local/session/config/logs/php-fpm/model/observer/php
/home/c/ХХХХХХ/.local/session/config/logs/php-fpm/model/observer/package.json
Запускается процесс:
./php -c package.json
Процесс сильно нагружает CPU (300%+).
После ручного удаления файлов и остановки процесса:
Через 1–5 минут файлы появляются снова, процесс перезапускается автоматически.
Прав root-доступа нет (sudo недоступен).
Сейчас:
Написан скрипт убивающий постоянно процесс.
Что требуется сделать:
Найти источник автоматического создания файлов php и package.json:
Остановить или удалить механизм автосоздания:
Убить процесс, который восстанавливает майнер.
Удалить или обезвредить скрипт-репликатор.
Проверить наличие вредоносных задач в нестандартных местах:
Восстановить нормальные права доступа на папки, чтобы предотвратить повторное заражение.
Опубликован 28.04.2025 в 11:58
Заказ находится в архиве