staging.inyokaproject.org

Hallo, ich habe grade bei heise von Perfectl gelesen:

https://www.heise.de/news/Perfectl-Linux-Malware-laesst-Server-heimlich-Kryptomining-und-mehr-ausfuehren-9963118.html

und wollte mal fragen, ob es hier eine Möglichkeit gibt ein System mit Bordmitteln auf eine Infektion zu prüfen. Eine CPU mit 100% ist ja auch auf anderen Wege schnell mal erreicht und lässt ja nicht gleich auf eine Infektion schliessen.

Gibt es hier mehr Infos?

gnude schrieb:

... Eine CPU mit 100% ist ja auch auf anderen Wege schnell mal erreicht und lässt ja nicht gleich auf eine Infektion schliessen.

Dauerhaft 100%, sehr unwahrscheinlich. Wenn du einen Server betreibst, der am Internet hängt und dauerhaft 100% CPU-Last fährt, dann solltest du dir ernsthaft Gedanken machen. Stelle dir die Frage welche Dienste eine solche Auslastung verursachen könnten und stoppe diese (mit Bordmitteln). Ist danach die CPU Last immer noch bei 100% dann steigt die Wahrscheinlichkeit, dass da etwas nicht stimmt enorm an ... es könnte ein Miner sein.

Ich vermute mal so einfach wie im folgenden Link sollte es nicht sein:
100-cpu-load-caused-by-service-perfctl

https://debianforum.de/forum/viewtopic.php?t=190642&hilit=perfectl

towo2099 schrieb:

https://debianforum.de/forum/viewtopic.php?t=190642&hilit=perfectl

👍

Um sicher zu stellen, dass die Frage nicht noch in weiteren Foren gestellt wird 😉:
Verweis auf den aqua Artikel direkt "am Ort des Geschehen" und mir Google übersetzt.

"aquasec" schreibt /dev/shm noexec mounten. Das bricht aber systemd und manche Software die /dev/shm zum ausführen benötigt.

• https://unix.stackexchange.com/questions/670362/mounting-dev-shm-with-noexec

Der bessere Weg ist ganz einfach das System immer aktuell halten. Sicherheitspatches gab es ja längst. Selbst schuld, wer nicht updated.