<div dir="ltr"><div dir="ltr"><div dir="ltr">Hi SAC,</div><div dir="ltr"><br></div><div dir="ltr">I just discovered:<br>on osgeo6 the cryptominer "j" running as "geotools" user is back :-(<br><br><span style="font-family:monospace,monospace">Tasks: 522 total,   1 running, 520 sleeping,   1 stopped,   0 zombie<br>%Cpu(s): 50.3 us,  0.1 sy,  0.0 ni, 49.6 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st<br>KiB Mem:  13193000+total, 13111448+used,   815528 free,     8140 buffers<br>KiB Swap: 15622140 total,    18180 used, 15603960 free. 11951499+cached Mem<br><br>  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                        <br> 2845 geotools  20   0 1219628  25032   2048 S  1200  0.0 100848:13 j                               </span>                                               <br><div><br></div><div>... stealing some of our resources.</div><div><br></div><div>It runs since:</div><div><br></div><div><span style="font-family:monospace,monospace">root@osgeo6:~# ps -p 2845 -o pid,lstart,comm,cmd<br>  PID                  STARTED COMMAND         CMD<br> 2845 Mon Sep 10 11:11:51 2018 j               [ksoftirqd]</span><br></div><div><br></div><div>Clearly, "geotools" was connected that time, for 3 seconds:</div><div><br></div><div><span style="font-family:monospace,monospace">root@osgeo6:~# last<br></span></div><div><span style="font-family:monospace,monospace">...</span></div><div><span style="font-family:monospace,monospace">root     pts/0        .............    Thu Sep 13 13:33 - 13:34  (00:00)    <br>jmckenna pts/0        .............    Tue Sep 11 05:37 - 20:25  (14:48)    <br>jmckenna pts/0        .............    Mon Sep 10 11:15 - 13:27  (02:11)    <br>geotools pts/0        104.239.230.121  Mon Sep 10 11:09 - 11:12  (00:03)    <br>root     pts/0        ...............  Mon Sep 10 11:07 - 11:08  (00:00)    <br></span><br></div><div><br></div><div>I suggest that we put stronger measures this time:</div><div>Can we now agree that a password reset may be a good idea? Or, ssh key only.<br></div><div><br></div><div>Markus<br></div><div><br></div><div><br></div></div></div></div>