Nieznany proces linuksowy z losowym poleceniem

12

Podczas uruchamiania mam nieznany proces top:

wprowadź opis zdjęcia tutaj

  • Kiedy zabijam ten proces, znów pojawia się pod inną losową nazwą.
  • kiedy sprawdzam poziomy rc.d i init.d, istnieje wiele losowych nazw podobnych do tego i ta też tam jest.
  • kiedy próbuję apt-get usunąć lub coś jeszcze, to nadchodzi ponownie.
  • kiedy podłączam kabel sieciowy, blokuje on całą naszą sieć.

Czy masz pomysł, jak mogę to usunąć?

Czym jest ta usługa / proces?

To jest plik exe, kiedy go usunę, znowu się pojawi. 

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Kiedy zaznaczę „netstat -natp”, adres zagraniczny zakładu to 98.126.251.114:2828. Kiedy próbuję dodać reguły do ​​iptables, to nie działa. Ale po próbie, a następnie zrestartowaniu, zmień ten adres na 66.102.253.30:2828 ten.

System operacyjny to Debian Wheeze

linux ubuntu ssh debian virus użytkownik1424059
źródło
5
Prawdopodobnie jakiś klient botnetu (twoja maszyna jest zagrożona). Musisz dowiedzieć się, jak to się zaczęło. Takie narzędzia cruftmogą się przydać, aby zobaczyć, które pliki nie należą do pakietów.
Dan
2
ps lpokaże ci, czym jest proces nadrzędny. Najprawdopodobniej powie ci, co powoduje ten proces. Spójrz na kolumnę PPID, aby uzyskać potrzebne informacje. Nie byłoby tak szybko deklarować tego złośliwego oprogramowania.
krowe
+1, aby sprawdzić proces nadrzędny. A jeśli plik /use/bin/hgmjzjkpxaistnieje (czy może być w / usr?), Czy jest to również link, czy coś innego interesującego na liście ls -la, lub oglądane w lesslub strings?
Xen2050,
nie ma żadnego procesu nadrzędnego, wygląda jak proces whoami, jest jedna rzecz, kiedy zaznaczę „netstat -natp”, istnieje adres obcy siedziby 98.126.251.114:2828. kiedy próbuję dodać reguły do ​​iptables, to nie działa. Ale po próbie, a następnie zrestartowaniu, zmień ten adres na 66.102.253.30:2828 ten. masz jakiś pomysł na ten temat?
user1424059

Odpowiedzi:

15

Mam pewne doświadczenia na temat tego losowego 10-bitowego trojana łańcuchowego, który wyśle ​​wiele pakietów do powodzi SYN.

  1. Wyłącz swoją sieć

Trojan ma nieprzetworzony plik /lib/libudev.so, który skopiuje i rozwidli ponownie. Doda również cron.hourlyzadanie o nazwie gcc.sh, a następnie doda skrypt początkowy w twoim /etc/rc*.d(może być Debian, CentOS /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. Użyj, rootaby uruchomić poniższy skrypt, aby zmienić uprawnienia do folderu:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Usuń wszystkie /etc/rc{0,1,2,3,4,5,6,S}.dpliki, które zostały utworzone dzisiaj, Nazwa wygląda S01????????.

  3. Edytuj crontab, usuń gcc.shskrypt w swoim /etc/cron.hourly, usuń gcc.shplik ( /etc/cron.hourly/gcc.sh), a następnie dodaj uprawnienia do swojego crontab:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Użyj tego polecenia, aby sprawdzić najnowsze zmiany pliku: ls -lrt

Jeśli znajdziesz podejrzane pliki o nazwie S01xxxxxxxx(lub K8xxxxxxxx), usuń je.

  1. Następnie należy zrestartować komputer bez sieci.

Następnie trojan powinien zostać wyczyszczony i możesz zmodyfikować uprawnienia do folderów do pierwotnych wartości ( chattr -i /lib /etc/crontab).

Rainysia
źródło
Uratowały mnie instrukcje zawarte w tej odpowiedzi. Mimo swojego wieku trojan nadal wydaje się być na wolności. Jednak w kroku 4 występuje błąd, ponieważ polecenie sed nie zmienia pliku. To jest po prostu zmodyfikowany, ale: sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab. Ponadto, zgodnie z linkiem w odpowiedzi @Colin Rosenthal, infekcja odbywa się poprzez brutalnie wymuszone hasło ssh roota. Aby zapobiec ponownemu zakażeniu, zmień lub wyłącz hasło roota przed ponownym uruchomieniem sieci.
frederik
chattr -i /libzwraca chattr: Operation not supported while reading flags on /libjakieś wskazówki? My / lib wskazuje na usr / lib
donkey
Nie mogę też przywrócić sieci nawet po wykonaniu sudo apt install - reinstall libudev1
donkey
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / podczas biegu dostały pozwolenie odmowy, nawet uruchomione z su i sudo
Yashwanth Kambala
15

Jest to znane jako XORDDos Linux Trojan Sztuką jest prowadzony killz -STOPza proces zostać wstrzymane, tak aby nie tworzyć nowego.

`kill -STOP PROCESS_ID`
Algierski
źródło
Świetny. Właśnie tego szukałem. Bez ponownego uruchomienia naprawdę nie możesz pozbyć się tego wirusa, jeśli zawsze jest w pamięci. Nie musisz nawet przeskakiwać żadnych folderów po zatrzymaniu - po prostu usuń pliki i łącza i to wszystko.
Oleg Bolden
0

Dla mnie były dwie opcje:

  1. W przypadku trojana, który ma problemy z plikami w / usr / bin, zrobiłem to tylko: echo> /lib/libudev.so Zabij PID trojana

  2. Dla jednego bałaganu w / bin (tutaj zawsze było 5-10 procesów dla frakcji chattr + i / bin i postępuj zgodnie z krokami wspomnianymi przez rainysia

Zatarra
źródło
0

Mamy również do czynienia z tym samym problemem, nasze serwery również zostały zaatakowane przez hakerów i okazało się, że brutalnie wymusiły logowanie do ssh i osiągnęły sukcesy oraz wstrzyknęły trojana do naszego systemu.

Oto szczegóły:

mniej / var / log / secure | grep „Nieudane hasło” | grep „222.186.15.26” | uruchomiono wc -l 37772

i uzyskałem dostęp poniżej: Akceptowane hasło do roota z portu 222.186.15.26 65418 ssh2

I zgodnie z lokalizatorem adresów IP ten ip należy do gdzieś w Chinach.

Kroki naprawcze: wykonaj kroki podane przez: @rainysia

Kroki zapobiegawcze :

  1. Według mnie jakiś system zarządzania powiadomieniami powinien być dostępny, gdy ktoś próbował ssh lub uzyskać dostęp do twojego serwera i wiele razy poniósł porażkę.
  2. Kontrolery szybkości sieci powinny tam być, jeśli korzystasz z dowolnej platformy chmurowej, takiej jak aws, gcp, lazur itp.
Sahil Aggarwal
źródło
1
ale po pierwsze, nie zezwalaj na dostęp przez root za pośrednictwem ssh, nie zezwalaj na dostęp za pomocą ssh z hasłem, zezwalaj na dostęp tylko za pośrednictwem ssh z kluczami
pietrovismara 21.02.2018
0

Mam wirusa tego kurczaka, kiedy odsłoniłem domyślne porty, aby połączyć się ze zdalnym dostępem z mojego komputera domowego. w moim przypadku ta strona pomogła mi

Kroki

1) Wyświetl listę plików pod cronem godzinowym. Jeśli widzisz jakiś plik .sh, otwórz go.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) Jeśli plik .sh pokazuje podobne dane, jak pokazano poniżej, to jest to program wirusowy !! 

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) Proszę, nie spiesz się! Zachowaj spokój i łatwość: D

Nie usuwaj gcc.sh ani nie usuwaj pliku crontab. Jeśli go usuniesz lub usuniesz, natychmiast wygeneruje się inny proces. Możesz usunąć skrypt sprawcy lub go wyłączyć. [Wolę go wyłączyć, aby pokazać klientowi dowód]

root@vps-# rm -f /etc/cron.hourly/gcc.sh;

LUB

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) Użyj polecenia top, aby wyświetlić wirusa lub złośliwy plik (np. „Mtyxkeaofa”) PID to 16621, nie zabijaj bezpośrednio programu, w przeciwnym razie program będzie ponownie generował, ale aby przerwać jego działanie, użyj poniższego polecenia.

root@vps- # kill -STOP 16621

Usuń pliki w /etc/init.d. lub wyłącz [wolę wyłączyć, aby pokazać klientowi dowód]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

LUB 

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa;

6) Usuń / usr / bin w archiwach.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) Sprawdź / usr / bin archiwizuje ostatnie zmiany, wirus można również usunąć, jeśli inny podejrzany jest tym samym katalogiem.

root@vps-# ls -lt /usr/bin | head

8) Teraz zabij złośliwy program, który się nie wytworzy.

root@vps-# pkill mtyxkeaofa

9) Usuń ciało wirusa.

root@vps-# rm -f /lib/libudev.so

Trojan ten znany jest również jako trojan typu Chinese Chicken Multiplatform DoS, Unix - Trojan.DDoS_XOR-1, osadzony rootkit,

Uwaga: jeśli nie możesz znaleźć pliku .sh, możesz zainstalować ClamAV, RKHunter i sprawdzić dzienniki / raporty, aby znaleźć podejrzane / złośliwe

link do faktycznej strony

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

Yashwanth Kambala
źródło
2
Chociaż ten link może odpowiedzieć na pytanie, lepiej dołączyć tutaj istotne części odpowiedzi i podać link w celach informacyjnych. Odpowiedzi zawierające tylko łącze mogą stać się nieprawidłowe, jeśli połączona strona ulegnie zmianie. - Z recenzji
CaldeiraG
zaktualizuje to tutaj
Yashwanth Kambala