我们注意到 CoreOS 服务器上运行着未知进程 sustse/kworkerds,该进程被识别为 Cripto 恶意软件,
按照下面的文章操作,但没有帮助,终止进程并删除临时文件,一段时间后它再次启动。Crontab 没有运行
https://www.digitalocean.com/community/questions/what-is-this-sustes-in-my-process-in-my-cpu-stats
答案1
用于systemctl status <pid>确定哪个 systemd 单元包含该进程。由此,您可以确定自动启动方法 - 例如,如果它在 cron.service 下,则显然是由 cron 作业启动的;如果它在 apache2.service 下,则通过受感染的 Web 应用启动的;等等。
答案2
有一些复杂的恶意软件充当矿工。Kworkerds 就是其中之一。它甚至修改了 libc.so,特别是 readdir 函数。此外,它对重启和删除具有弹性。因此,删除它并非易事。请仔细阅读,以确保它完全被删除。啊!请注意,它还会删除其他矿工!非常聪明,这样它就可以访问更多的 CPU 资源,并且杀死其他矿工不会提醒不谨慎的系统管理员。
參考文獻:https://blog.trendmicro.com/trendlabs-security-intelligence/linux-coin-miner-copied-scripts-from-korkerds-removes-all-other-malware-and-miners/ https://www.zdnet.com/article/linux-cryptocurrency-miners-are-installing-rootkits-to-hide-themselves/ https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth