AWS EC2インスタンスでMinerdマルウェアを殺すにはどうすればよいですか？（侵害されたサーバー）

ec2インスタンスで、ビットコインを継続的にマイニングし、インスタンスの処理能力を使用しているマルウェアを見つけました。プロセスを特定できましたが、削除して強制終了することはできませんでした。

このコマンドを watch "ps aux | sort -nrk 3,3 | head -n 5" 実行すると、インスタンスで実行されている上位5つのプロセスが表示され、そこからCPUの30％を消費しているプロセス名「bashd」があることがわかりました。プロセスは

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

kill -9 process_idコマンドを使用してこのプロセスを強制終了しました。5秒後、プロセスが再び開始されました。

ソフトウェアをそこに置かなかった場合、および/またはクラウドインスタンスが危険にさらされていると思われる場合：オフラインにして、削除し、最初から再構築します（ただし、最初に以下のリンクをお読みください）。それはもはやあなたのものではなく、あなたはもはやそれを信頼することはできません。

マシンが侵害された場合の対処方法および動作方法の詳細については、ServerFaultの「侵害されたサーバーに対処する方法」を参照してください。

上記にリンクされているリストで行うことと考えることに加えて、あなたが誰でどこにいるかによっては、ローカル/中央のITセキュリティに報告する法的義務がある場合があることに注意してください組織内および/または当局へのチーム/個人（場合によっては特定の時間枠内でも）。

たとえば、スウェーデンでは（2015年12月以降）、州の機関（大学など）は24時間以内にIT関連の事件を報告する義務があります。組織は、これを実行するための手順を文書化しています。

このコマンドはbashd同じですccminerからccminer-cryptonight、あなたのシステム上の鉱山Moneroへのプログラムの開発（tutoがあります：Monero - Linux上Ccminer-cryptonight GPUの鉱夫）、bashdエイリアシングによって、またはプログラムのソースコードを変更することによって得られます。

Cryptonight Malware：プロセスを強制終了する方法 （マルウェアの専門家のWebページで見つかった情報）

これもまたクリプトナイトと呼ばれる新しいマルウェアで、これまで見たことのないものです。実行可能なLinuxプログラムをダウンロードし、そのhttpデーモンをバックグラウンドで非表示にします。これは一見するとプロセスリストを見つけるのが困難です。

手動削除プロセス

cryptonightパラメーターを開始するプロセスhttpdが実行されているかどうかを検索できます。

ps aux | grep cryptonight

次にkill -9 process_id、root権限を使用します。（cryptonightではなくのプロセスを終了する必要がありますbashd）

安全のために次のことを行う必要があります。

1. システムを再インストールします
2. システムにパッチを適用して、リモート攻撃の脆弱性を防止します
3. 制限されたコマンドを実行するようにユーザーを制限する