Вирусы на серверах

В последнее время участились случаи заражения серверов некоторых наших партнеров вирусами.

В частности, вирус c типом Multios.Coinminer.Miner. Зачастую он маскируется под системный процесс, например kswapd0 и значительно нагружает сервер.

Детектировать процесс вируса можно, например, в утилите top или с помощью команды

ps axf | grep "/kswapd0" | grep -v grep

Из иследованных нами случаев, вирус записывается либо в скрытые подкаталоги директории /tmp, либо в пользовательские, такие как /home/wialon/ - например /home/wialon/.configrc/a/kswapd0
Детекитровать подобный процесс в некоторых случаях можно просто с помощью утилиты top, однако он не всегда активен.

Для точного определения следует воспользоваться антивирусом.
Один из таких бесплатный ClamAv - https://www.clamav.net/
Установить его можно из стандартных репозиториев Debian выполнив

apt-get install clamav -y

Далее обновить базы

freshclam

Для сканирования можно использовать команду

clamscan -ri /

Файлы вируса можно удалить вручную, либо добавил ключ -remove к предыдущей команде.
Однако если инфицированны системные файлы - вам придется их восстанавливать индивидуально, либо переустанавливать систему(что надежнее).

Из-за чего сервер может оказаться инфицированным?

Часто это простой пароль для доступа по ssh и стандартные настройки подключения.
В целом рекомендуется использовать сложные пароли и убрать доступ для пользователя root извне.
Можно создать отдельного пользователя для подключения по ssh, с правами суперпользователя, либо с возможностью переключения на него.
Также, для дополнительной безопасности, можно использовать порт отличный от стандартного(22) для ssh.