Linux майнер

[ERer]

Linux localhost.localdomain 4.16.14-300.fc28.x86_64 #1 SMP Tue Jun 5 16:23:44 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

 

вызывает беспокойство майнер, который, как вы понимаете, я не заказывал

 

USER    PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
Er        1888  389.6  0.2 699500  9380 ?        Tl   04:28   0:20        /tmp/9E53-753B-AD70-27F7/gvfsd
 

содержимое папки /tmp

 

9E53-753B-AD70-27F7
ssh-Qv3ZAANxD9sk
systemd-private-1259351111ce4c12b5c8b4a13d989cb5-bluetooth.service-HHNPEf
systemd-private-1259351111ce4c12b5c8b4a13d989cb5-rtkit-daemon.service-5LQvG8
Temp-cfd714c0-3fee-41ed-9fca-9f1591ce1ea6
tmp1_g0rcl0

 

ls /tmp/9E53-753B-AD70-27F7/
gvfsd
 

вирустотал детектирует как троян майнер

https://www.virustotal.com/#/file/0f0b6888717d8aebe88b945f1cd4019bf32ba94aa87267f99fc272cc3cade2a0/detection

 

названия меняет sleep, systemd, gvfsd (были еще какие-то с ibus, x11 итп)

соединяется tcp на 142.44.242.100:14444  6.ip-142-44-243.net:14444

 

запускается со стартом системы, грузит сильно.

в принципе простой kill его убивает, но периодически запускается одновременно несколько таких

 

перемонтируя /tmp с noexec повторный запуск блокируется

 

Важного на компе ничего нет, так что просто хочется разобраться откуда и как.

 

ps.

Доступ в интернет через "студенческую" сеть, неоднократно обнаруживался mitm, блокировки установления соединения по https, банальные "врезки" в кабель и иммитация wifi ap с целью получения пароля.

 

[thyrex]

Используемые нами инструменты предназначены только для Windows.