Làm cách nào tôi có thể tiêu diệt phần mềm độc hại khai thác trên phiên bản AWS EC2? (máy chủ bị xâm nhập)

26

Tôi đã tìm thấy phần mềm độc hại trên cá thể ec2 của tôi liên tục khai thác bitcoin và sử dụng sức mạnh xử lý cá thể của tôi. Tôi đã xác định thành công quá trình, nhưng không thể loại bỏ và giết nó.

Tôi đã chạy lệnh này watch "ps aux | sort -nrk 3,3 | head -n 5" Nó cho thấy năm tiến trình hàng đầu đang chạy trên cá thể của tôi, từ đó tôi thấy có một tên quy trình ' bashd ' đã tiêu thụ 30% cpu. Quá trình là

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Tôi đã giết quá trình này bằng cách sử dụng kill -9 process_idlệnh. Sau 5 giây, quá trình bắt đầu lại.

linux  process  kill  malware 
Nadeem Ahmed
nguồn
4
Bạn không cung cấp đủ chi tiết (ít nhất là một số lệnh mà bạn đã thử)
Basile Starynkevitch
28
"Máy chủ là gia súc, không phải vật nuôi." Đặc biệt là các máy chủ ảo thực sự dễ dàng để tạo và phá hủy. Vứt cái này đi (chấm dứt nó) và tạo cái khác. Hoặc tạo một cái khác, chuyển đổi và giữ cái cũ xung quanh trong khi bạn tìm ra cách phần mềm độc hại xâm nhập vào đó.
dùng253751
14
trường hợp của bạn bị xâm phạm, nuke nó từ quỹ đạo
njzk2
4
(lưu ý cho bất kỳ ai khác đọc điều này - "máy chủ là gia súc, không phải vật nuôi" chỉ áp dụng cho máy chủ đám mây hoặc cho một số lượng lớn máy chủ giống hệt nhau)
user253751
1
đây là khai thác Monero, không phải bitcoin (nếu có vấn đề)
Dmitry Kudriavtsev

Câu trả lời:

83

Nếu bạn không đặt phần mềm ở đó và / hoặc nếu bạn nghĩ rằng trường hợp đám mây của bạn bị xâm phạm: Hãy tắt nó, xóa phần mềm và xây dựng lại từ đầu (nhưng trước tiên hãy đọc liên kết bên dưới). Nó không còn thuộc về bạn nữa, bạn không thể tin tưởng được nữa .

Xem "Cách đối phó với máy chủ bị xâm nhập" trên ServerFault để biết thêm thông tin về những việc cần làm và cách ứng xử khi máy bị xâm nhập.

Ngoài những việc cần làm và suy nghĩ trong danh sách được liên kết ở trên, hãy lưu ý rằng tùy thuộc vào bạn là ai và bạn đang ở đâu, bạn có thể có nghĩa vụ pháp lý để báo cáo cho bảo mật CNTT địa phương / trung ương nhóm / người trong tổ chức của bạn và / hoặc tới các cơ quan chức năng (thậm chí có thể trong một khung thời gian nhất định).

Ví dụ, tại Thụy Điển (kể từ tháng 12 năm 2015), bất kỳ cơ quan nhà nước nào (ví dụ: các trường đại học) có nghĩa vụ báo cáo các sự cố liên quan đến CNTT trong vòng 24 giờ. Tổ chức của bạn sẽ có các quy trình tài liệu về cách thực hiện việc này.

Kusalananda
nguồn
29
Amen. Tôi nghĩ rằng nó không thể được nói tốt hơn hoặc được truyền đạt đúng cách "nó không còn thuộc về bạn nữa"
Rui F Ribeiro
20
Và bạn cần tìm cách nó đến đó ngay từ đầu.
kagronick
12

Lệnh bashdnày giống như ccminertừ ccminer-cryptonightchương trình khai thác Monero trên hệ thống của bạn (có tuto: Monero - Công cụ khai thác GPU Ccminer-cryptonight trên Linux ), bashdcó được bằng cách đặt bí danh hoặc sửa đổi mã nguồn của chương trình.

Cryptonight Malware: làm thế nào để giết quá trình? (thông tin tìm thấy trên trang web chuyên gia về phần mềm độc hại)

Đây lại là phần mềm độc hại mới mà chúng ta gọi là cryptonight, thứ mà chúng ta chưa từng thấy trước đây. Nó tải xuống chương trình Linux thực thi và ẩn http daemon trong nền, đây là danh sách quá trình khó tìm ngay từ cái nhìn đầu tiên.

Hướng dẫn loại bỏ quá trình

Bạn có thể tìm kiếm nếu có tiến trình httpd đang chạy, bắt đầu tham số cryptonight:

ps aux | grep cryptonight

Sau đó, chỉ kill -9 process_idvới quyền root. (Bạn nên giết quá trình cryptonightkhông phải là bashd)

Để an toàn, bạn nên:

  1. Cài đặt lại hệ thống của bạn
  2. Vá hệ thống của bạn để ngăn lỗ hổng tấn công từ xa: Máy chủ Linux bị tấn công vào tiền điện tử của tôi thông qua lỗ hổng SambaCry
  3. Hạn chế người dùng chạy các lệnh giới hạn
GAD3R
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.