비트 코인을 지속적으로 채굴하고 인스턴스 처리 능력을 사용하는 EC2 인스턴스에서 악성 코드를 발견했습니다. 프로세스를 성공적으로 식별했지만 제거 및 종료 할 수 없습니다.
이 명령을 watch "ps aux | sort -nrk 3,3 | head -n 5"
실행했습니다. 인스턴스에서 실행중인 상위 5 개 프로세스를 보여줍니다. 이
프로세스에서 CPU의 30 %를 소비 하는 프로세스 이름 ' bashd '가 있습니다. 과정은
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
kill -9 process_id
명령 을 사용하여이 프로세스를 종료했습니다 . 5 초 후 프로세스가 다시 시작되었습니다.