Jak mogę zabić złośliwe oprogramowanie w instancji AWS EC2? (zainfekowany serwer)

26

Znalazłem złośliwe oprogramowanie w mojej instancji ec2, która stale wydobywała bitcoiny i używała mocy przetwarzania mojej instancji. Z powodzeniem zidentyfikowałem proces, ale nie byłem w stanie go usunąć i zabić.

Uruchomiłem to polecenie. watch "ps aux | sort -nrk 3,3 | head -n 5" Pokazuje pięć najważniejszych procesów uruchomionych w mojej instancji, z których odkryłem, że istnieje nazwa procesu „ bashd ”, która zużywa 30% procesora. Proces jest

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Zabiłem ten proces za pomocą kill -9 process_idpolecenia. Po 5 sekundach proces rozpoczął się ponownie.

linux process kill malware Nadeem Ahmed
źródło
4
Nie podajesz wystarczających szczegółów (przynajmniej kilka wypróbowanych poleceń)
Basile Starynkevitch 30.09.17
28
„Serwery to bydło, a nie zwierzęta domowe”. Zwłaszcza wirtualne serwery, które są naprawdę łatwe do utworzenia i zniszczenia. Wyrzuć ten (zakończ go) i utwórz inny. Lub stwórz kolejną, przełącz się i trzymaj starą, podczas gdy ty zastanawiasz się, w jaki sposób dostało się tam złośliwe oprogramowanie.
user253751
14
Twoja instancja jest zagrożona, odrzuć ją z orbity
njzk2 30.09.17
4
(uwaga dla każdego, kto to czyta - „serwery to bydło, a nie zwierzęta domowe” dotyczy tylko serwerów w chmurze lub dużej liczby identycznych serwerów)
użytkownik253751
1
to wydobywanie Monero, a nie bitcoin (jeśli to ma znaczenie)
Dmitry Kudriavtsev

Odpowiedzi:

83

Jeśli nie umieściłeś tam oprogramowania i / lub uważasz, że Twoja instancja w chmurze jest zagrożona: Wyłącz go, usuń i odbuduj od zera (ale najpierw przeczytaj link poniżej). To już nie należy do ciebie, nie możesz już mu ufać .

Zobacz „Jak poradzić sobie z zagrożonym serwerem” w ServerFault, aby uzyskać dodatkowe informacje na temat tego, co należy zrobić i jak zachować się, gdy komputer zostanie przejęty.

Oprócz rzeczy do zrobienia i przemyślenia na powyższych listach należy pamiętać, że w zależności od tego, kim jesteś i gdzie jesteś, możesz mieć prawny obowiązek zgłoszenia tego do lokalnego / centralnego bezpieczeństwa IT zespół / osoba w Twojej organizacji i / lub do władz (być może nawet w określonym czasie).

Na przykład w Szwecji (od grudnia 2015 r.) Każda agencja państwowa (np. Uniwersytety) jest zobowiązana do zgłaszania incydentów związanych z IT w ciągu 24 godzin. Twoja organizacja będzie mieć udokumentowane procedury, jak to zrobić.

Kusalananda
źródło
29
Amen. Myślę, że nie można powiedzieć lepiej ani właściwie „nie należy już do ciebie”
Rui F Ribeiro
20
I przede wszystkim musisz dowiedzieć się, jak się tam dostało.
kagronick
12

To polecenie bashdjest takie samo jak ccminerz ccminer-cryptonightprogramu do wydobywania Monero w twoim systemie (jest tuto: Monero - Ccminer-cryptonight GPU miner w Linuksie ), bashdjest uzyskiwane przez aliasing lub modyfikację kodu źródłowego programu.

Złośliwe oprogramowanie Cryptonight: jak zabić ten proces? (informacje na stronie eksperta od złośliwego oprogramowania)

To ponownie nowe złośliwe oprogramowanie, które nazywamy kryptowalutą, czego wcześniej nie widzieliśmy. Pobiera wykonywalny program Linux i ukrywa tego demona http w tle, co na pierwszy rzut oka jest trudne do znalezienia listy procesów.

Proces usuwania ręcznego

Możesz wyszukać, czy istnieje uruchomiony proces httpd, który uruchamia parametr cryptonight:

ps aux | grep cryptonight

Wtedy właśnie kill -9 process_idz uprawnieniami użytkownika root. (Trzeba zabić proces cryptonightnie bashd)

Aby być bezpiecznym, powinieneś:

  1. Ponownie zainstaluj system
  2. Łatka systemu, aby zapobiec podatności na atak zdalny: serwery Linux przejęte do kopalnianej kryptowaluty za pośrednictwem luki w zabezpieczeniach SambaCry
  3. Ogranicz użytkownikom uruchamianie ograniczonych poleceń
GAD3R
źródło