Quá trình linux không xác định với lệnh ngẫu nhiên

12

Tôi có một quy trình không xác định khi tôi chạy top:

nhập mô tả hình ảnh ở đây

  • Khi tôi giết quá trình, nó lại xuất hiện với một tên ngẫu nhiên khác.
  • Khi tôi kiểm tra các cấp độ RC.d và init.d, có nhiều tên ngẫu nhiên tương tự như cái này và cái này cũng ở đó.
  • Khi tôi cố gắng để apt-get remove hoặc antasing elses, nó sẽ trở lại.
  • Khi tôi cắm cáp mạng, nó sẽ khóa toàn bộ mạng của chúng tôi.

Bạn có biết làm thế nào tôi có thể loại bỏ nó?

Dịch vụ / quy trình này là gì?

Đây là tập tin exe, khi tôi xóa nó, nó cũng sẽ trở lại. 

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Khi tôi kiểm tra "netstat -natp", có một địa chỉ nước ngoài được thành lập là 98.126.251.114:2828. Khi tôi cố gắng thêm quy tắc vào iptables, nó không hoạt động. Nhưng sau khi thử và sau đó khởi động lại địa chỉ này thay đổi thành 66.102.253.30:2828 cái này.

Hệ điều hành là Debian Wheeze

linux  ubuntu  ssh  debian  virus 
người dùng1424059
nguồn
5
Có thể một số máy khách botnet (máy của bạn bị xâm nhập). Bạn phải tìm hiểu làm thế nào nó được bắt đầu. Các tiện ích như cruftcó thể có ích để xem những tập tin nào không thuộc về các gói.
Dan
2
ps lsẽ cho bạn thấy quá trình cha mẹ là gì. Rất có thể, điều đó sẽ cho bạn biết điều gì đang sinh ra quá trình này. Nhìn vào cột PPID để biết thông tin bạn muốn. Tôi sẽ không nhanh chóng tuyên bố phần mềm độc hại này.
krowe 14/2/2015
+1 để kiểm tra tiến trình cha. Và nếu tệp /use/bin/hgmjzjkpxatồn tại (có thể là trong / usr?) Thì đó cũng là một liên kết, hoặc một cái gì đó thú vị khác được liệt kê trong ls -la, hoặc được xem với lesshoặc strings?
Xen2050
không có bất kỳ quy trình cha mẹ nào, nó trông giống như quy trình whoami, có một điều khi tôi kiểm tra "netstat -natp" có một địa chỉ nước ngoài được xác định là 98.126.251.114:2828. Khi tôi cố gắng thêm quy tắc vào iptables, nó không hoạt động. Nhưng sau khi thử và sau đó khởi động lại địa chỉ này thay đổi thành 66.102.253.30:2828 cái này. bạn có ý kiến ​​gì về điều này không?
user1424059 17/2/2015

Câu trả lời:

15

Tôi có một số kinh nghiệm về trojan chuỗi 10 bit ngẫu nhiên này, Nó sẽ gửi rất nhiều gói cho lũ lụt SYN.

  1. Cắt mạng của bạn

Các trojan có tệp thô đến từ /lib/libudev.so, nó sẽ sao chép và fork một lần nữa. Nó cũng sẽ thêm cron.hourlycông việc được đặt tên gcc.sh, sau đó nó sẽ thêm tập lệnh ban đầu trong /etc/rc*.d(Debian, CentOS có thể /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. Sử dụng rootđể chạy tập lệnh bên dưới để thay đổi đặc quyền thư mục:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Xóa tất cả /etc/rc{0,1,2,3,4,5,6,S}.dcác tệp đã được tạo ngày hôm nay, Tên trông như thế S01????????.

  3. Chỉnh sửa crontab của bạn, xóa gcc.shtập lệnh trong của bạn /etc/cron.hourly, xóa gcc.shtệp ( /etc/cron.hourly/gcc.sh) sau đó thêm đặc quyền cho crontab của bạn:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Sử dụng lệnh này để kiểm tra các thay đổi tập tin mới nhất: ls -lrt

Nếu bạn tìm thấy bất kỳ tập tin đáng ngờ có tên S01xxxxxxxx(hoặc K8xxxxxxxx), hãy xóa nó.

  1. Sau đó, bạn nên khởi động lại mà không cần mạng.

Sau đó, trojan sẽ được xóa và bạn có thể sửa đổi các đặc quyền thư mục thành các giá trị ban đầu ( chattr -i /lib /etc/crontab).

mưa
nguồn
Các hướng dẫn trong câu trả lời này đã cứu tôi. Mặc dù tuổi của nó, trojan này dường như vẫn còn trong tự nhiên. Tuy nhiên, trong bước 4 có lỗi, vì lệnh sed không thực sự thay đổi tệp. Nó chỉ đơn giản là sửa đổi, mặc dù : sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab. Ngoài ra, theo liên kết trong câu trả lời của @Colin Rosenthal, nhiễm trùng là thông qua mật khẩu ssh bắt buộc vũ phu của root. Vì vậy, để ngăn chặn việc tái nhiễm, hãy thay đổi hoặc vô hiệu hóa mật khẩu root trước khi khởi động lại mạng.
frederik
chattr -i /libTrả về chattr: Operation not supported while reading flags on /libmanh mối nào? My / lib trỏ đến usr / lib
con lừa
Tôi cũng không thể khôi phục mạng ngay cả sau khi thực hiện cài đặt sudo apt --reinstall libudev1
lừa
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / trong khi chạy đã bị từ chối, thậm chí chạy với su và sudo
Yashwanth Kambala
15

Cái này được gọi là Trojan XORDDos Linux Thủ thuật là chạy killvới -STOPquá trình bị tạm dừng để nó không tạo ra cái mới.

`kill -STOP PROCESS_ID`
Tiếng Algeria
nguồn
Tuyệt quá. Đây chính xác là những gì tôi đang tìm kiếm. Nếu không khởi động lại, bạn thực sự không thể thoát khỏi virus này nếu nó luôn ở trong bộ nhớ. Bạn thậm chí không cần phải chỉnh sửa bất kỳ thư mục nào sau khi dừng nó - chỉ cần xóa các tệp và liên kết và đó là tất cả.
Oleg Bolden
0

Đối với tôi có hai lựa chọn:

  1. Đối với trojan đang gây rối với các tệp trong / usr / bin, tôi chỉ làm điều này: echo> /lib/libudev.so Tiêu diệt trojan PID

  2. Đối với một lỗi với / bin (ở đây luôn có 5-10 quy trình chạy cho một phần chattr + i / bin và làm theo các bước được đề cập bởi rainysia

Zatarra
nguồn
0

Chúng tôi cũng phải đối mặt với cùng một vấn đề, Máy chủ của chúng tôi cũng bị hack và tôi thấy rằng họ đã ép buộc đăng nhập ssh và đã thành công và tiêm trojan trong hệ thống của chúng tôi.

Sau đây là các chi tiết:

ít / var / log / an toàn | grep 'Mật khẩu không thành công' | grep '222.186.15.26' | wc -l 37772 đã bắt đầu

và có quyền truy cập vào thời gian dưới đây: Mật khẩu được chấp nhận cho root từ 222.186.15.26 cổng 65418 ssh2

Và theo IP Location Finder, ip này thuộc về một nơi nào đó ở Trung Quốc.

Các bước khắc phục: vui lòng làm theo các bước được cung cấp bởi: @rainysia

Các bước phòng ngừa ::

  1. Theo tôi, một số quản lý thông báo nên có mặt khi ai đó cố gắng ssh hoặc truy cập máy chủ của bạn và thất bại nhiều lần.
  2. Bộ điều khiển tốc độ mạng sẽ ở đó nếu bạn đang sử dụng bất kỳ nền tảng đám mây nào như aws, gcp, azure, v.v.
Sahil Aggarwal
nguồn
1
nhưng trước tiên, không cho phép truy cập root thông qua ssh, không cho phép mọi quyền truy cập ssh bằng mật khẩu, chỉ cho phép truy cập qua ssh bằng các khóa
pietrovismara
0

Tôi bị nhiễm virus gà này, khi tôi tiếp xúc với các cổng mặc định để kết nối với truy cập từ xa từ máy chủ của tôi. trong trường hợp của tôi, trang web này đã giúp tôi

Các bước

1) Liệt kê các tập tin theo cron hàng giờ. Nếu bạn có thể thấy bất kỳ tập tin .sh nào, vui lòng mở nó.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) Nếu tệp .sh hiển thị dữ liệu tương tự như bên dưới, thì đó là chương trình Virus !! 

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) Bây giờ, xin đừng vội! Bình tĩnh và dễ dàng: D

Không xóa gcc.sh hoặc không xóa crontab. Nếu bạn xóa hoặc xóa nó, thì một quá trình khác sẽ tạo ra ngay lập tức. Bạn có thể xóa tập lệnh thủ phạm hoặc vô hiệu hóa nó. [Tôi thích vô hiệu hóa nó để hiển thị bằng chứng cho khách hàng]

root@vps-# rm -f /etc/cron.hourly/gcc.sh;

HOẶC LÀ

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) Sử dụng lệnh hàng đầu để xem vi-rút hoặc tệp độc hại (Ví dụ: "mtyxkeaofa") PID là 16621, không trực tiếp giết chương trình, nếu không nó sẽ lại tạo ra, nhưng để dừng hoạt động của nó, hãy sử dụng lệnh bên dưới.

root@vps- # kill -STOP 16621

Xóa các tệp trong /etc/init.d. hoặc vô hiệu hóa nó [Tôi thích vô hiệu hóa nó để hiển thị bằng chứng cho khách hàng]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

HOẶC LÀ 

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa;

6) Xóa / usr / bin trong kho lưu trữ.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) Kiểm tra / usr / bin lưu trữ những thay đổi gần đây, virus cũng có thể bị xóa nếu nghi phạm khác có cùng thư mục.

root@vps-# ls -lt /usr/bin | head

8) Bây giờ giết chương trình độc hại, nó sẽ không sản xuất.

root@vps-# pkill mtyxkeaofa

9) Loại bỏ cơ thể virus.

root@vps-# rm -f /lib/libudev.so

Trojan này còn được gọi là bot Trung Quốc DoS đa hệ thống botnet Trojan, Unix - Trojan.DDoS_XOR-1, Rootkit nhúng,

Lưu ý: Nếu bạn không thể tìm thấy tệp .sh, bạn có thể vui lòng cài đặt ClamAV, RKHunter và kiểm tra nhật ký / báo cáo để tìm thấy sự nghi ngờ / độc hại

liên kết đến trang web thực tế

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multipl platform-dos-botnets-trojan/

Yashwanth Kambala
nguồn
2
Mặc dù liên kết này có thể trả lời câu hỏi, tốt hơn là bao gồm các phần thiết yếu của câu trả lời ở đây và cung cấp liên kết để tham khảo. Câu trả lời chỉ liên kết có thể trở nên không hợp lệ nếu trang được liên kết thay đổi. - Từ đánh giá
CaldeiraG
sẽ cập nhật tại đây
Yashwanth Kambala
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.