Linux.MulDrop.14に感染すると
raspberrypiの無線LAN設定を変更するために、一か月ぶりぐらいに再起動しました。
ログインシェルにCPUロードを表示するようにしていたので気が付いたのですが、異常にロードが増えていたのです。再起動直後でロードが7とか10とか出ていました。
topで見るとzmapとsshpassが大量に動作している。タスクも500ぐらいありました。
調べてみると”Linux.MulDrop.14”の可能性が高いようでした。
デフォルトパスワードを使用していてSSHを有効にしていると感染するのですが、パスワードログインは無効でもかかってしまっていました。
psでどんなプロセスが動いているのかと思うと/optに知らないファイルがあり大量に動作していました。※ファイル名はランダムな英数字
どこから起動しているのかと調べるとrc.localが書き換わっていて勝手に起動するようになっていました。
/etc/hostsも書き換わっていました。
127.0.0.1 bins.deutschland-zahlung.eu が大量に増えていました。
再起動のたびに増えていたかもしれません。
デフォルトパスワードは変えておかないといけないということと思います。