Votre système a définitivement été compromis ou au pire piraté. Il y a d'autres histoires décrivant l'installation d'un mineur similaire.
Je suis d'avis que votre système a été compromis et que vous en retirez tout élément critique pour que vous le sauvegardiez s'il ne l'est pas déjà.
Une analyse
Si vous êtes curieux de savoir comment ils sont entrés, vous devrez obtenir une liste complète des services (Web, mysql, etc.) que vous avez installés et voir s'il existe des exploits actifs qui permettraient à quelqu'un d'obtenir des privilèges élevés.
Je commencerais par toutes les fonctionnalités Web qui sont des applications basées sur le Web. C'est généralement le cas que ces applications peuvent être débordées de tampon et accéder à la modification de la pile du serveur Web afin que des applications supplémentaires puissent être installées.
Il est vrai que ces types de compromis peuvent être des incidents isolés.Il suffit donc de supprimer le logiciel incriminé et les logiciels malveillants pour les éliminer sans avoir à supporter le temps nécessaire pour effectuer une récupération / configuration complète du système.
Si ce système a été construit à l'aide d'une image basée sur VPS, je travaillerais avec le fournisseur, car le correctif semble être dans leur meilleur intérêt pour tous leurs clients.
Au-delà de la simple compromission de la pile Web
Tout ce qui se trouve sur la boîte doit être examiné attentivement et n'est pas digne de confiance, mais je prendrais un peu de temps pour voir si vous ne pouvez pas savoir d'où les attaquants se connectent, le cas échéant. Ils se connectent peut-être à l'aide de comptes SSH qui ont été ajoutés au système après l'avoir compromis.
Cela peut être une tâche ardue qui prend plusieurs jours pour faire une analyse, surtout si vous ne pouvez faire confiance à aucun des outils sur la boîte pour vous aider dans cette entreprise. J'encourage quiconque à prendre ce temps pour comprendre comment son système a été compromis afin que vous puissiez réduire le risque qu'il se reproduise à l'avenir, au moins grâce à ce vecteur particulier.
S'il ne s'agit pas d'un problème de production, il s'agit en fait d'une bonne opportunité d'apprentissage pour obtenir des informations précieuses sur la façon dont les systèmes peuvent être compromis et l'accès peut être «exploité» par des attaquants.
Doublure argentée?
Comme le système est utilisé à des fins d'exploration, il est probable qu'ils aient utilisé un ensemble d'outils de script automatisé, car attaquer suffisamment de systèmes pour configurer des mineurs de zombies semble prendre beaucoup de temps. Lorsque des outils tels que ceux-ci sont utilisés, ils sont généralement de mauvaise qualité dans leur construction, cherchant simplement à faire le strict minimum pour prendre pied et ensuite fournir leur charge utile (le logiciel d'exploration de données), de sorte que vous pouvez avoir de la chance et obtenir des informations supplémentaires comment ils ont pu entrer.