Wie kann ich Minerd-Malware auf einer AWS EC2-Instanz entfernen? (kompromittierter Server)

26

Ich habe auf meiner ec2-Instanz Malware gefunden, die kontinuierlich Bitcoin abbaut und die Rechenleistung meiner Instanz nutzt. Ich habe den Prozess erfolgreich identifiziert, konnte ihn jedoch nicht entfernen und beenden.

Ich habe diesen Befehl ausgeführt. watch "ps aux | sort -nrk 3,3 | head -n 5" Er zeigt die fünf wichtigsten Prozesse, die auf meiner Instanz ausgeführt werden. Dabei habe ich festgestellt, dass der Prozessname ' bashd ' 30% der CPU verbraucht hat. Der Prozess ist

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Ich habe diesen Prozess mit dem kill -9 process_idBefehl abgebrochen. Nach 5 Sekunden wurde der Vorgang erneut gestartet.

Nadeem Ahmed
quelle
4
Sie geben nicht genug Details (mindestens mehrere Befehle, die Sie versucht haben)
Basile Starynkevitch
28
"Kellner sind Vieh, keine Haustiere." Besonders virtuelle Server, die sehr einfach zu erstellen und zu zerstören sind. Wirf dieses weg (beende es) und erstelle ein anderes. Oder erstellen Sie eine neue, wechseln Sie und behalten Sie die alte, während Sie herausfinden, wie die Malware dort vorgedrungen ist.
user253751
14
Ihre Instanz ist kompromittiert, nuke es aus dem Orbit
njzk2
4
(Hinweis für alle anderen, die dies lesen - "Server sind Vieh, keine Haustiere" gilt nur für Cloud-Server oder für eine große Anzahl identischer Server)
user253751
1
Dies ist Mining Monero, nicht Bitcoin (wenn es darauf ankommt)
Dmitry Kudriavtsev

Antworten:

83

Wenn Sie die Software nicht dort abgelegt haben und / oder wenn Sie glauben, dass Ihre Cloud-Instanz kompromittiert ist: Schalten Sie sie offline, löschen Sie sie und erstellen Sie sie von Grund auf neu (lesen Sie jedoch zuerst den folgenden Link). Es gehört dir nicht mehr, du kannst ihm nicht mehr vertrauen .

Weitere Informationen zur Vorgehensweise und zum Verhalten bei einer Computerkomprimierung finden Sie unter "So gehen Sie mit einem kompromittierten Server um" in ServerFault.

Beachten Sie, dass Sie, abhängig davon, wer Sie sind und wo Sie sich befinden, möglicherweise gesetzlich verpflichtet sind, dies entweder einer lokalen / zentralen IT-Sicherheit zu melden Team / Person in Ihrer Organisation und / oder bei Behörden (möglicherweise sogar innerhalb eines bestimmten Zeitrahmens).

In Schweden (seit Dezember 2015) ist beispielsweise jede staatliche Behörde (z. B. Universitäten) verpflichtet, IT-bezogene Vorfälle innerhalb von 24 Stunden zu melden. Ihre Organisation verfügt über dokumentierte Vorgehensweisen.

Kusalananda
quelle
29
Amen. Ich denke, es kann nicht besser gesagt oder richtig vermittelt werden "es gehört dir nicht mehr"
Rui F Ribeiro
20
Und Sie müssen erst herausfinden, wie es dort hingekommen ist.
kagronick
12

Dieser Befehl bashdist der gleiche wie ccminervon ccminer-cryptonightProgramm zu Mine Monero auf Ihrem System (es gibt Tuto: Monero - Ccminer-Cryptonight GPU-Miner unter Linux ), der bashddurch Aliasing oder durch Ändern des Quellcodes des Programms erhalten wird.

Cryptonight Malware: Wie kann ich den Prozess beenden? (Informationen finden Sie auf der Malware-Experten-Webseite)

Diese neue Malware, die wir Cryptonight nennen, haben wir noch nie gesehen. Es lädt ein ausführbares Linux-Programm herunter und verbirgt den http-Daemon im Hintergrund, was auf den ersten Blick schwierig ist, eine Prozessliste zu finden.

Manuelle Entfernung

Sie können suchen, ob dort der Prozess httpd ausgeführt wird, der den Parameter cryptonight startet:

ps aux | grep cryptonight

Dann einfach kill -9 process_idmit root-Rechten. (Du solltest den Prozess cryptonightnicht abbrechen bashd)

Um sicher zu gehen, sollten Sie:

  1. Installieren Sie Ihr System neu
  2. Patchen Sie Ihr System, um die Sicherheitsanfälligkeit durch Remoteangriffe zu verhindern: Linux-Server wurden über die Sicherheitsanfälligkeit SambaCry entführt, um Kryptowährung abzubauen
  3. Beschränken Sie die Benutzer auf die Ausführung eingeschränkter Befehle
GAD3R
quelle