Nos últimos dias tenho observado processos estranhos em um de nossos servidores. Na maioria das vezes, vejo várias instâncias do executável 10e, às vezes 4 , consome muitos recursos da CPU. Quando examinado isso, tenho visto que o processo é iniciado pelo cron logo após iniciar um processo com executável cpu_hu. O que aparentemente é estranho ao meu sistema e a pesquisa simples não resolveu nada.
Em seguida, examinou o cpu_huprocesso, examinou a localização do exe e depois removeu adequadamente (a localização na imagem aponta para um local para um pequeno projeto em que nossa equipe está trabalhando)
mesmo que eu tenha removido o binário, após a reinicialização ele apareceu em um local diferente
e os executáveis 10, 4iniciados na memória (sem localização física do executável)
Excluí cpu_huo binário de todos os locais do sistema, interrompi o processo e reiniciei, mas depois de algum tempo cpu_huo binário aparece em outro lugar. Por enquanto parei o crond e eliminei os respectivos processos. O que parecia ter impedido o processo de recomeçar.
Neste ponto, tenho certeza de que é malicioso. Como posso me livrar disso ou melhor, encontrar o ponto de partida desse malware para evitar que ele seja iniciado.