<div dir="ltr">Figure out what user the script is running under.<br>Look at the home directory and see if there is an executable named `htop` in there, because I wouldn't normally expect to see it there.<div>I'm quite confident someone uploaded a crypto miner and renamed it `htop` as to disguise it.</div><div><br></div><div>Regarding the IP address 198.50.168.213, that IP resolves to the domain name <a href="http://mine.zpool.ca">mine.zpool.ca</a> which IS a crypto mining service.</div><div>More on that IP available here:</div><div><a href="https://www.abuseipdb.com/check/198.50.168.213">https://www.abuseipdb.com/check/198.50.168.213</a><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jan 11, 2023 at 5:27 PM Grand Rapids Linux Users Group <<a href="mailto:grlug@grlug.org">grlug@grlug.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Wed, 11 Jan 2023, Grand Rapids Linux Users Group wrote:<br>
<br>
> Looks like crypto mining scripts running on your machine.<br>
><br>
Plausible, .. how would one locate them? Don't see anything weird in ps.<br>
<br>
        TFTR!<br>
-- <br>
grlug mailing list<br>
<a href="mailto:grlug@grlug.org" target="_blank">grlug@grlug.org</a><br>
<a href="https://shinobu.grlug.org/mailman/listinfo/grlug" rel="noreferrer" target="_blank">https://shinobu.grlug.org/mailman/listinfo/grlug</a><br>
</blockquote></div>