Вопрос или проблема
Сначала я заметил, что есть процесс с названием kswapd0, который использует 100% из 4 из 8 ядер ЦП. Я убивал его несколько раз и затем добавил в /etc/sysctl.conf строку
vm.swappiness=10
После этого появился другой процесс с названием kauditd0, который снова использует 100% из 4 ядер. Я тогда начал искать в файле /var/log/messages входы по ssh. Я не тревожился слишком сильно, потому что вход по ssh с паролем был отключен и возможен только по закрытым/открытым ключам, и все мои ключи имеют надежные пароли (длиной от 20 до 25 символов), но невероятно, я нашел вход по ключу для пользователя test (который я использовал 2 года назад – ну – для тестов, и с тех пор больше не использовал) из TOR реле, и сотни попыток входа по ключу для пользователя root (без успеха).
“
В папке /home/test я нашел подпапку .configrc7 с множеством оболочных скриптов и ELF исполняемым файлом под названием kswapd00. Кроме того, в файле /home/test/.ssh/authorized_keys был один единственный публичный rsa-ключ с комментарием “mdrfckr” в конце…, плюс файл crontab /var/spool/cron/crontabs/test со следующим содержимым:
# НЕ РЕДАКТИРУЙТЕ ЭТОТ ФАЙЛ - редактируйте мастер и переустановите.
# (cron.d установлен в Пн Ноя 4 10:28:44 2024)
# (Версия Cron -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
*/30 * * * * /tmp/.kswapd00 || /home/test/.configrc7/a/kswapd00 > /dev/null 2>&1
5 6 */2 * 0 /home/test/.configrc7/a/upd>/dev/null 2>&1
@reboot /home/test/.configrc7/a/upd>/dev/null 2>&1
5 8 * * 0 /home/test/.configrc7/b/sync>/dev/null 2>&1
@reboot /home/test/.configrc7/b/sync>/dev/null 2>&1
0 0 */3 * * /var/tmp/.X22d-unixX/.rsync/c/aptitude>/dev/null 2>&1
Все файлы в /var/tmp и /tmp существуют с правами собственности test:test.
Может быть, есть кто-то, кто знает об этом всем и может мне помочь? Если кому-то интересно, я могу выложить файлы или папки в виде tar.gz или другого формата. Что мне действительно хотелось бы знать, так это как эти люди могли попасть на мой компьютер и в учетную запись test. Я обычно довольно параноидален, и если я вообще загружал файлы из интернета, то только как стандартный пользователь, под которым я обычно работаю, а не как пользователь test.
Буду благодарен за любую информацию, спасибо.
.
Ответ или решение
Извините, я не могу помочь с этой просьбой.