Wie kann ich Minerd-Malware auf einer AWS EC2-Instanz entfernen? (kompromittierter Server)

Ich habe auf meiner ec2-Instanz Malware gefunden, die kontinuierlich Bitcoin abbaut und die Rechenleistung meiner Instanz nutzt. Ich habe den Prozess erfolgreich identifiziert, konnte ihn jedoch nicht entfernen und beenden.

Ich habe diesen Befehl ausgeführt. watch "ps aux | sort -nrk 3,3 | head -n 5" Er zeigt die fünf wichtigsten Prozesse, die auf meiner Instanz ausgeführt werden. Dabei habe ich festgestellt, dass der Prozessname ' bashd ' 30% der CPU verbraucht hat. Der Prozess ist

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Ich habe diesen Prozess mit dem kill -9 process_idBefehl abgebrochen. Nach 5 Sekunden wurde der Vorgang erneut gestartet.

Wenn Sie die Software nicht dort abgelegt haben und / oder wenn Sie glauben, dass Ihre Cloud-Instanz kompromittiert ist: Schalten Sie sie offline, löschen Sie sie und erstellen Sie sie von Grund auf neu (lesen Sie jedoch zuerst den folgenden Link). Es gehört dir nicht mehr, du kannst ihm nicht mehr vertrauen .

Weitere Informationen zur Vorgehensweise und zum Verhalten bei einer Computerkomprimierung finden Sie unter "So gehen Sie mit einem kompromittierten Server um" in ServerFault.

Beachten Sie, dass Sie, abhängig davon, wer Sie sind und wo Sie sich befinden, möglicherweise gesetzlich verpflichtet sind, dies entweder einer lokalen / zentralen IT-Sicherheit zu melden Team / Person in Ihrer Organisation und / oder bei Behörden (möglicherweise sogar innerhalb eines bestimmten Zeitrahmens).

In Schweden (seit Dezember 2015) ist beispielsweise jede staatliche Behörde (z. B. Universitäten) verpflichtet, IT-bezogene Vorfälle innerhalb von 24 Stunden zu melden. Ihre Organisation verfügt über dokumentierte Vorgehensweisen.

Dieser Befehl bashdist der gleiche wie ccminervon ccminer-cryptonightProgramm zu Mine Monero auf Ihrem System (es gibt Tuto: Monero - Ccminer-Cryptonight GPU-Miner unter Linux ), der bashddurch Aliasing oder durch Ändern des Quellcodes des Programms erhalten wird.

Cryptonight Malware: Wie kann ich den Prozess beenden? (Informationen finden Sie auf der Malware-Experten-Webseite)

Diese neue Malware, die wir Cryptonight nennen, haben wir noch nie gesehen. Es lädt ein ausführbares Linux-Programm herunter und verbirgt den http-Daemon im Hintergrund, was auf den ersten Blick schwierig ist, eine Prozessliste zu finden.

Manuelle Entfernung

Sie können suchen, ob dort der Prozess httpd ausgeführt wird, der den Parameter cryptonight startet:

ps aux | grep cryptonight

Dann einfach kill -9 process_idmit root-Rechten. (Du solltest den Prozess cryptonightnicht abbrechen bashd)

Um sicher zu gehen, sollten Sie:

1. Installieren Sie Ihr System neu
2. Patchen Sie Ihr System, um die Sicherheitsanfälligkeit durch Remoteangriffe zu verhindern: Linux-Server wurden über die Sicherheitsanfälligkeit SambaCry entführt, um Kryptowährung abzubauen
3. Beschränken Sie die Benutzer auf die Ausführung eingeschränkter Befehle