Master-X
Форум | Новости | Статьи
Главная » Форум » Хостинги / Домены / Железо » 
Тема: Ушлые хостеры майнят монеро на ваших ВПС-ках?
цитата
31/01/18 в 07:00
 Oswell E. Spencer
Сегодня зашел на один из впс и увидел что некий процесс xmr жрет 99% процессора icon_eek.gif

думаю че за хня, погуглил, оказывается это майнер крипты монеро, процесс убил, начал искать везде следы того кто и как мог запустить, сам бинарик, ничего не нашел.

Кто что думает? icon_cool.gif


цитата
31/01/18 в 08:10
 Securom
хакнули сервак твой,иначе зачем хостеру майнить крипту на своих серваках
Я пробовал майнить монеро на выделенном серваке с 8 ядрами,за сутки 15 центов facepalm.gif так как непригодны серваки а тем более впски для майнинга,поэтому версия про взломанный сервак наиболее правдоподобна
и юзер develop кто такой на твоей впске?
цитата
31/01/18 в 08:22
 Oswell E. Spencer
develop это я, 1 юзер, вход по ключу, порты не стандартные, руту доступ к шелл закрыт. х.з. что и как сломали, пока ничего не вижу...
цитата
31/01/18 в 09:41
 Oswell E. Spencer
таки да, взломали, на впс-ке доры и 1 wp, в итоге в /tmp/.123/xmr исполняемый был....
цитата
31/01/18 в 16:08
 EvGenius
но осадочек как говорится остался icon_lol.gif
ох уж эти хостеры

"был" в смысле удалил? это зря.
была определенная вероятность, что у него дата создания правильная была указана. а значит лезем в логи всех сайтов и смотрим что происходило в тот день и время. надо ж не просто удалить проблему, а найти лазейку, через которую зашли.

и да, /tmp с правами на запуск это зря...
я вообще их делаю tmpfs noexec с правами 000 (у root'а туда доступ будет в любом случае).
может правда быть проблема с обновлениями, но для этого сперва запускаем mount -o exec,mode=1777 /tmp
а потом сразу обратно возвращаем.

всяким обычным юзерам нечего делать в /tmp, им надо выделять собственные temp-помойки.
цитата
19/02/18 в 14:44
 Swarly
полюбому взломали. им же не выгодно это делать,чтобы потом у тебя были претензии к ним. icon_cool.gif
цитата
19/02/18 в 17:52
 EvGenius
им не выгодно в первую очередь и-за оверселлинга.
одно ядро 10 раз перепродают. пока у всех 10х нагрузка небольшая, то никто и не замечает особо. а стоит на одной запустить долгую 100% нагрузку, так все 10 сразу тикеты начнут строчить... в лучшем случае. или не редко сразу на форуме каком-то вызывать телепатов, а те быстро зафукают хостера и предложат куда переехать


Эта страница в полной версии