Laatst had ik ineens dat een server continue een bepaald proces draaide, waarbij ik dacht dat de klant gewoon iets fout had gedaan en het proces bleef "hangen". Maar het gekke was hoe vaak ik het proces ook beëindigde, het kwam telkens weer terug.
Het proces bleef ook CPU draaien op 1000% (zie ik in top), maar het gekke was het proces draaide onder de root user met een commando van een programma wat helemaal niet geïnstalleerd was, maar wel tot de basis van de disto hoort (om niet op te vallen).
Vond uiteindelijk een bestand dat door een ander bestand werd aangeroepen en dat weer een ander bestand.
Nu zie ik het net weer op een andere server (waar de CPU maar 100% draait), maar ik kan er niet echt achter komen, hoe ze dat als root kunnen draaien en hoe ze dit installeren. Iemand die dit herkend?
Aangezien het niks doet dan alleen CPU gebruiken gok ik gewoon een of andere crypto miner draaien.
Voor de duidelijkheid, de root user kan niet via SSH inloggen (alleen sudo of su) en er wordt niet via SSH ingelogd, anders krijg ik namelijk een melding per mail en moet ik iets in de logs zien.