Unbekannter Linux-Prozess mit zufälligem Befehl

11

Ich habe einen unbekannten Prozess beim Ausführen von top:

Bildbeschreibung hier eingeben

  • Wenn ich den Prozess beende, kommt er wieder mit einem anderen zufälligen Namen.
  • Wenn ich die rc.d-Ebenen und init.d überprüfe, gibt es viele zufällige Namen, die diesem ähnlich sind, und dieser ist auch da.
  • Wenn ich versuche, etwas zu entfernen oder etwas anderes zu bekommen, kommt es wieder.
  • Wenn ich ein Netzwerkkabel einstecke, wird unser gesamtes Netzwerk gesperrt.

Haben Sie eine Idee, wie ich es entfernen kann?

Was ist dieser Service / Prozess?

Dies ist die exe-Datei, wenn ich sie lösche, kommt sie auch wieder. 

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Wenn ich "netstat -natp" überprüfe, gibt es eine ausländische Niederlassungsadresse 98.126.251.114:2828. Wenn ich versuche, Regeln zu Iptables hinzuzufügen, funktioniert es nicht. Aber nachdem Sie versucht haben, diese Adresse erneut zu starten, ändern Sie diese auf 66.102.253.30:2828.

OS ist Debian Wheeze

linux ubuntu ssh debian virus user1424059
quelle
5
Möglicherweise ein Botnet-Client (Ihr Computer ist kompromittiert). Sie müssen herausfinden, wie es gestartet wird. Dienstprogramme wie cruftkönnen nützlich sein, um festzustellen, welche Dateien nicht zu Paketen gehören.
Dan
2
ps lzeigt Ihnen, was der übergeordnete Prozess ist. Das wird Ihnen höchstwahrscheinlich sagen, was diesen Prozess auslöst. In der Spalte PPID finden Sie die gewünschten Informationen. Ich würde diese Malware nicht so schnell deklarieren.
Krowe
+1, um den übergeordneten Prozess zu überprüfen. Und wenn die Datei /use/bin/hgmjzjkpxaexistiert (könnte es in / usr sein?), Ist es auch ein Link oder etwas anderes Interessantes, das in ls -laoder mit lessoder angezeigt wird strings?
Xen2050
Es gibt keinen übergeordneten Prozess. Es sieht aus wie ein Whoami-Prozess. Wenn ich "netstat -natp" ankreuze, gibt es eine ausländische Niederlassungsadresse: 98.126.251.114:2828. Wenn ich versuche, Regeln zu Iptables hinzuzufügen, funktioniert es nicht. Aber nachdem Sie versucht haben, diese Adresse erneut zu starten, ändern Sie diese auf 66.102.253.30:2828. Hast du eine Ahnung davon?
user1424059

Antworten:

15

Dies ist bekannt als XORDDos Linux Trojan Der Trick zu laufen ist killmit -STOPfür den Prozess angehalten werden , so dass es keine neue schafft.

`kill -STOP PROCESS_ID`
Algeriassic
quelle
Toll. Genau das habe ich gesucht. Ohne Neustart können Sie diesen Virus nicht wirklich loswerden, wenn er sich immer im Speicher befindet. Sie müssen nach dem Stoppen keine Ordner mehr verändern - entfernen Sie einfach die Dateien und Links und das ist alles.
Oleg Bolden
13

Ich habe einige Erfahrungen mit diesem zufälligen 10-Bit-String-Trojaner, der viele Pakete für die SYN-Flut sendet.

  1. Reduzieren Sie Ihr Netzwerk

Der Trojaner hat eine Rohdatei /lib/libudev.so, die kopiert und wieder gegabelt wird. Es wird auch ein cron.hourlyJob mit dem Namen hinzugefügt gcc.sh, dann wird das erste Skript in Ihrem /etc/rc*.d(Debian, CentOS kann sein /etc/rc.d/{init,rc{1,2,3,4,5}}.d) hinzugefügt.

  1. Verwenden Sie rootdas folgende Skript ausführen , um die Ordner - Berechtigungen zu ändern:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Löschen Sie alle /etc/rc{0,1,2,3,4,5,6,S}.dDateien, die heute erstellt wurden. Der Name sieht so aus S01????????.

  3. Bearbeiten Sie Ihre Crontab, löschen Sie das gcc.shSkript in Ihrer /etc/cron.hourly, löschen Sie die gcc.shDatei ( /etc/cron.hourly/gcc.sh) und fügen Sie dann Berechtigungen für Ihre Crontab hinzu:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Verwenden Sie diesen Befehl, um die neuesten Dateiänderungen zu überprüfen: ls -lrt

Wenn Sie verdächtige Dateien mit dem Namen S01xxxxxxxx(oder K8xxxxxxxx) finden, löschen Sie diese.

  1. Dann sollten Sie ohne Netzwerk neu starten.

Dann sollte der Trojaner gesäubert werden und Sie können die Ordnerrechte auf die ursprünglichen Werte ändern ( chattr -i /lib /etc/crontab).

Rainysia
quelle
Die Anweisungen in dieser Antwort haben mich gerettet. Trotz seines Alters scheint dieser Trojaner immer noch in freier Wildbahn zu sein. In Schritt 4 ist jedoch ein Fehler aufgetreten, da der Befehl sed die Datei nicht tatsächlich ändert. Es wird einfach geändert, aber: sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab. Laut dem Link in der Antwort von @Colin Rosenthal erfolgt die Infektion über das brachiale ssh-Passwort von root. Um eine erneute Infektion zu verhindern, ändern oder deaktivieren Sie das root-Passwort, bevor Sie das Netzwerk neu starten.
Frederik
0

Für mich gab es zwei Möglichkeiten:

  1. Für den Trojaner, der mit Dateien in / usr / bin in Unordnung gerät, habe ich nur Folgendes getan: echo> /lib/libudev.so Töte die PID des Trojaners

  2. Für das eine Spiel mit / bin (hier gab es immer 5-10 Prozesse, die für einen Bruchteil von chattr + i / bin liefen, und befolgen Sie die von rainysia genannten Schritte

Zatarra
quelle
0

Wir haben auch das gleiche Problem: Unsere Server sind ebenfalls gehackt und ich habe festgestellt, dass sie das SSH-Login brutal erzwungen haben und Erfolge erzielt und Trojaner in unser System eingeschleust haben.

Es folgen die Details:

less / var / log / secure | grep 'Passwort fehlgeschlagen' | grep '222.186.15.26' | wc -l 37772 hat begonnen

und bekam Zugriff auf unter Zeit: Akzeptiertes Passwort für root von 222.186.15.26 Port 65418 ssh2

Und laut IP Location Finder gehört diese IP irgendwo nach China.

Korrekturmaßnahmen: Bitte befolgen Sie die Schritte von: @rainysia

Vorbeugende Schritte :

  1. Laut mir sollte ein Benachrichtigungsmanagemnet vorhanden sein, wenn jemand versucht hat, auf Ihren Server zuzugreifen oder zu ssh und mehrmals ausfällt.
  2. Netzwerkraten-Controller sollten vorhanden sein, wenn Sie eine Cloud-Plattform wie aws, gcp, azure usw. verwenden.
Sahil Aggarwal
quelle
aber zuerst root-
zugriff