Znalazłem złośliwe oprogramowanie w mojej instancji ec2, która stale wydobywała bitcoiny i używała mocy przetwarzania mojej instancji. Z powodzeniem zidentyfikowałem proces, ale nie byłem w stanie go usunąć i zabić.
Uruchomiłem to polecenie.
watch "ps aux | sort -nrk 3,3 | head -n 5"
Pokazuje pięć najważniejszych procesów uruchomionych w mojej instancji, z których odkryłem, że istnieje nazwa procesu „ bashd ”, która zużywa 30% procesora. Proces jest
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
Zabiłem ten proces za pomocą kill -9 process_id
polecenia. Po 5 sekundach proces rozpoczął się ponownie.
Odpowiedzi:
Jeśli nie umieściłeś tam oprogramowania i / lub uważasz, że Twoja instancja w chmurze jest zagrożona: Wyłącz go, usuń i odbuduj od zera (ale najpierw przeczytaj link poniżej). To już nie należy do ciebie, nie możesz już mu ufać .
Zobacz „Jak poradzić sobie z zagrożonym serwerem” w ServerFault, aby uzyskać dodatkowe informacje na temat tego, co należy zrobić i jak zachować się, gdy komputer zostanie przejęty.
Oprócz rzeczy do zrobienia i przemyślenia na powyższych listach należy pamiętać, że w zależności od tego, kim jesteś i gdzie jesteś, możesz mieć prawny obowiązek zgłoszenia tego do lokalnego / centralnego bezpieczeństwa IT zespół / osoba w Twojej organizacji i / lub do władz (być może nawet w określonym czasie).
Na przykład w Szwecji (od grudnia 2015 r.) Każda agencja państwowa (np. Uniwersytety) jest zobowiązana do zgłaszania incydentów związanych z IT w ciągu 24 godzin. Twoja organizacja będzie mieć udokumentowane procedury, jak to zrobić.
źródło
To polecenie
bashd
jest takie samo jakccminer
zccminer-cryptonight
programu do wydobywania Monero w twoim systemie (jest tuto: Monero - Ccminer-cryptonight GPU miner w Linuksie ),bashd
jest uzyskiwane przez aliasing lub modyfikację kodu źródłowego programu.Złośliwe oprogramowanie Cryptonight: jak zabić ten proces? (informacje na stronie eksperta od złośliwego oprogramowania)
Proces usuwania ręcznego
Wtedy właśnie
kill -9 process_id
z uprawnieniami użytkownika root. (Trzeba zabić procescryptonight
niebashd
)Aby być bezpiecznym, powinieneś:
źródło