Ich habe auf meiner ec2-Instanz Malware gefunden, die kontinuierlich Bitcoin abbaut und die Rechenleistung meiner Instanz nutzt. Ich habe den Prozess erfolgreich identifiziert, konnte ihn jedoch nicht entfernen und beenden.
Ich habe diesen Befehl ausgeführt.
watch "ps aux | sort -nrk 3,3 | head -n 5"
Er zeigt die fünf wichtigsten Prozesse, die auf meiner Instanz ausgeführt werden. Dabei habe ich festgestellt, dass der Prozessname ' bashd ' 30% der CPU verbraucht hat. Der Prozess ist
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
Ich habe diesen Prozess mit dem kill -9 process_id
Befehl abgebrochen. Nach 5 Sekunden wurde der Vorgang erneut gestartet.
Antworten:
Wenn Sie die Software nicht dort abgelegt haben und / oder wenn Sie glauben, dass Ihre Cloud-Instanz kompromittiert ist: Schalten Sie sie offline, löschen Sie sie und erstellen Sie sie von Grund auf neu (lesen Sie jedoch zuerst den folgenden Link). Es gehört dir nicht mehr, du kannst ihm nicht mehr vertrauen .
Weitere Informationen zur Vorgehensweise und zum Verhalten bei einer Computerkomprimierung finden Sie unter "So gehen Sie mit einem kompromittierten Server um" in ServerFault.
Beachten Sie, dass Sie, abhängig davon, wer Sie sind und wo Sie sich befinden, möglicherweise gesetzlich verpflichtet sind, dies entweder einer lokalen / zentralen IT-Sicherheit zu melden Team / Person in Ihrer Organisation und / oder bei Behörden (möglicherweise sogar innerhalb eines bestimmten Zeitrahmens).
In Schweden (seit Dezember 2015) ist beispielsweise jede staatliche Behörde (z. B. Universitäten) verpflichtet, IT-bezogene Vorfälle innerhalb von 24 Stunden zu melden. Ihre Organisation verfügt über dokumentierte Vorgehensweisen.
quelle
Dieser Befehl
bashd
ist der gleiche wieccminer
vonccminer-cryptonight
Programm zu Mine Monero auf Ihrem System (es gibt Tuto: Monero - Ccminer-Cryptonight GPU-Miner unter Linux ), derbashd
durch Aliasing oder durch Ändern des Quellcodes des Programms erhalten wird.Cryptonight Malware: Wie kann ich den Prozess beenden? (Informationen finden Sie auf der Malware-Experten-Webseite)
Manuelle Entfernung
Dann einfach
kill -9 process_id
mit root-Rechten. (Du solltest den Prozesscryptonight
nicht abbrechenbashd
)Um sicher zu gehen, sollten Sie:
quelle