raspberrypiの無線LAN設定を変更するために、一か月ぶりぐらいに再起動しました。

ログインシェルにCPUロードを表示するようにしていたので気が付いたのですが、異常にロードが増えていたのです。再起動直後でロードが7とか10とか出ていました。

topで見るとzmapとsshpassが大量に動作している。タスクも500ぐらいありました。

調べてみると”Linux.MulDrop.14”の可能性が高いようでした。

デフォルトパスワードを使用していてSSHを有効にしていると感染するのですが、パスワードログインは無効でもかかってしまっていました。

psでどんなプロセスが動いているのかと思うと/optに知らないファイルがあり大量に動作していました。※ファイル名はランダムな英数字

どこから起動しているのかと調べるとrc.localが書き換わっていて勝手に起動するようになっていました。

/etc/hostsも書き換わっていました。
127.0.0.1 bins.deutschland-zahlung.eu　が大量に増えていました。

再起動のたびに増えていたかもしれません。

デフォルトパスワードは変えておかないといけないということと思います。