【CentOS】 サーバがBitCoin採掘用サーバにされていた


なんかWEBが重いなと思ってサーバでTOPコマンドを実行したら
cronが最上位で長時間起動していた。

$ top

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 1172 hoge    20   0  313m 1876  780 S 198.2  0.2 147710:23 cron

こんな時間に動くcronなんてあったっけ?
と思いつつpsでpidを検索してみた。

$ ps auxwww|grep 1172

hoge    1172  195  0.1 321304  1876 ?        Sl   Mar24 147711:06 ./cron -a scrypt -o stratum+tcp://stratum.scryptguild.com:3333 -u sys_59 -p x --retry-pause=5

なんじゃこら!?
scryptguildとかいう見知らぬscriptが起動している。

調べてみるとなんとBitCoin採掘(Mining)用のscriptとの事。
lastコマンドにてログイン履歴を確認するとアメリカのIPからログインがあった模様。

# last
hoge pts/0 174.143.140.17 Mon Mar 24 08:17 – 08:24 (00:07)

慌ててuserのパスワードを変えておきました。
historyには何も残っていなかったため、何をされたかはこれ以上分からなかったです。

BitCoinを採掘するにはマシンパワーが必要になるので
採掘用マシンとして動作させられていたみたいですね。

開発用サーバでもセキュリティをもっとあげておかないといけないな。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です