Что за приложение «hheiqwuwfu»?

Майнер небось какой. Это сейчас модно.

Это знак....

что надо переставлять сервер.

Есть ли способ исследовать?

Может это скрипт, что внутри?

Так себе знак :( Там живой магазин крутится. Только что прибил процесс - сразу запустился новый, thtyoezbam

При простейшем просмотре — https://ibb.co/hoWgKy

Судя по поведению вангую какой-то руткит+довесок (спам рассылка, шелл etc).

Майнер грузил бы ядра. Просто клиент ботнета. Будешь слать спам и иногда ддосить кого-нибудь. Ничего страшного.

rkhunter запускал?

Ну может он для незаметности грузит одно ядро из множества? :)

Ну тогда это ещё знак, что надо делать бэкапы.

Ддосилка. Говнокод, вот это всё. Вырубай эту весту, грузись в single-user и вычищай. Больше никогда не включай.

Где-то даже гайд был как совсем вычистить, но уже не помню. Дыру нашли пару месяцев назад

https://superuser.com/questions/877896/unknown-linux-process-with-random-comm...

https://forum.vestacp.com/viewtopic.php?t=16555

Стандартное дело. Ломанули вас. Возможно заюзали уязвимость весты, что месяца два назад раскрыли. Но на всякий случай просмотрите логи ssh, с не меньше вероятностью может оказаться, что какие-то товарищи(частенько так балуются китайские товарищи) просто сбрутили ваш пароль(нередко такое происходит на серверах с ssh со стандартным портом и без ограничения на доступ к порту ssh по IP-адресу). Что-бы понять что за зверь, сделайте

sha256sum /usr/bin/hheiqwuwfu

и пробейте хэш на https://www.virustotal.com/ru/ и других ресурсах.

Думаю, вам rootkit hunter нужен. Можете заодно maldet от корня запустить в бэграуде, посмотреть что ещё он найдёт на вашей тачке. Обычно если у злоумышленников есть root, то они заразу прячут в /tmp/, /var/tmp, /boot/, bin, /usr/bin/, реже в /usr/sbin. Кроме того частенько подменяют либу торчащего наружу сервиса на свою с бэкдором.

Так как в сложных случаях попытка вычислить и вычистить все произведённые злоумышленниками изменения на тачке - это заведомо очень трудоёмкое дело, стоит подумать что для вас проще: вычистить всю заразу, проверить не были ли модифицированы конфиги тех или иных сервисов, системные файлы, либы и бинарники - или по быстрому сделать бэкапы, пересетапить сервачёк и развернуть из бэкапов ваш проект.

Что-бы простой был минимальный, можно взять аналогичный сервак, установить и настроить на нём всё как нужно(лучше, чем в прошлый раз настроить критические сервисы вроде ssh, поставить тот же fail2ban, сменить порт ssh на нестандартный или настроить ограничение по IP или порт-кнокинг), синкануть туда данные проекта и файлы БД не останавливая проект, затем запланировать небольшой простой, стопнуть соответствующие сервисы, синкануть данные сайта и БД повторно, запустить нужные сервисы на новом сервачке, а со старого настроить на время смены А-записей в кэшах DNS проксирование на новый, подождать сутки-двое и полностью погасить старый сервачёк.

Поверьте, вариант с ресетапом или миграцией проекта на чистый сервак будет для вас менее хлопотным, чем длительный процесс чистки сервака.

Большое спасибо всем, пошел разбираться с этой гадостью

UPD. Очень благодарен, это оказался тот самый gcc.sh. Инструкция по удалению помогла вроде, буду следить.

Проще сделать нового чем этого лечить (с) Вам выше написали, переставляйте сервак. Следить смысла не много. Хз что, кто и куда еще запихнул, можете и не обнаружить.