Processo Linux sconosciuto con comando casuale

12

Ho un processo sconosciuto quando eseguo top:

inserisci qui la descrizione dell'immagine

  • Quando uccido il processo, viene di nuovo con un altro nome casuale.
  • quando controllo i livelli di rc.d e init.d ci sono molti nomi casuali simili a questo e anche questo è lì.
  • quando provo ad apt-get remove o anthing elses, sta arrivando di nuovo.
  • quando inserisco il cavo di rete, blocca tutta la nostra rete.

Hai idea di come posso rimuoverlo?

Che cos'è questo servizio / processo?

Questo è il file exe, quando lo elimino, verrà anche di nuovo. 

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Quando controllo "netstat -natp" c'è un indirizzo straniero dello stabilimento è 98.126.251.114:2828. Quando provo ad aggiungere regole a iptables, non funziona. Ma dopo aver provato e quindi riavviare questo indirizzo, passare a 66.102.253.30:2828 questo.

Il sistema operativo è Debian Wheeze

linux  ubuntu  ssh  debian  virus 
user1424059
fonte
5
Probabilmente alcuni client botnet (il tuo computer è compromesso). Devi scoprire come è iniziato. Utilità come cruftpotrebbero tornare utili per vedere quali file non appartengono ai pacchetti.
Dan
2
ps lti mostrerà qual è il processo genitore. Molto probabilmente, questo ti dirà cosa sta generando questo processo. Guarda la colonna PPID per le informazioni che desideri. Non sarei così veloce a dichiarare questo malware.
Krowe,
+1 per verificare il processo padre. E se il file /use/bin/hgmjzjkpxaesiste (potrebbe essere in / usr?) È anche un link, o qualcos'altro di interessante elencato in ls -la, o visualizzato con lesso strings?
Xen2050,
non esiste alcun processo parent, sembra un processo whoami, c'è una cosa quando controllo "netstat -natp" c'è un indirizzo straniero dello stabilimento è 98.126.251.114:2828. quando provo ad aggiungere regole a iptables, non funziona. Ma dopo aver provato e quindi riavviare questo indirizzo, passare a 66.102.253.30:2828 questo. ne hai idea?
user1424059,

Risposte:

15

Ho alcune esperienze su questo Trojan a 10 bit stringa casuale, invierà molti pacchetti per l'inondazione SYN.

  1. Riduci la tua rete

Il trojan ha un file raw da /lib/libudev.socui verrà copiato e fork di nuovo. Aggiungerà anche il cron.hourlylavoro denominato gcc.sh, quindi aggiungerà lo script iniziale nel tuo /etc/rc*.d(Debian, CentOS potrebbe essere /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. Utilizzare rootper eseguire lo script seguente per modificare i privilegi di cartella:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Elimina tutti i /etc/rc{0,1,2,3,4,5,6,S}.dfile che sono stati creati oggi, il nome sembra S01????????.

  3. Modifica il tuo crontab, elimina lo gcc.shscript nel tuo /etc/cron.hourly, elimina il gcc.shfile ( /etc/cron.hourly/gcc.sh) quindi aggiungi i privilegi per il tuo crontab:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Utilizzare questo comando per verificare le ultime modifiche ai file: ls -lrt

Se trovi file sospetti denominati S01xxxxxxxx(o K8xxxxxxxx), eliminali.

  1. Quindi è necessario riavviare senza rete.

Quindi il trojan deve essere pulito e puoi modificare i privilegi della cartella sui valori originali ( chattr -i /lib /etc/crontab).

rainysia
fonte
Le istruzioni in questa risposta mi hanno salvato. Nonostante la sua età, questo trojan sembra essere ancora allo stato brado. Tuttavia, nel passaggio 4 si verifica un errore, poiché il comando sed non modifica effettivamente il file. Si tratta semplicemente modificato, però: sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab. Inoltre, secondo il link nella risposta di @Colin Rosenthal, l'infezione avviene attraverso la password ssh di brute-force di root. Quindi, al fine di prevenire la reinfezione, modificare o disabilitare la password di root prima di riavviare la rete.
Frederik,
chattr -i /librestituisce chattr: Operation not supported while reading flags on /libqualche indizio? Il mio / lib punta a usr / lib
asino il
Inoltre non sono in grado di ripristinare la rete anche dopo aver fatto sudo apt install - reinstall libudev1
asino
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / mentre l'esecuzione ha ottenuto il permesso negato, anche se corretti con su e sudo
Yashwanth Kambala
15

Questo è noto come il XORDDos Linux Troia Il trucco è quello di eseguire killcon -STOPil processo per essere messo in pausa in modo che non crea una nuova.

`kill -STOP PROCESS_ID`
Algeriassic
fonte
Grande. Questo è esattamente quello che stavo cercando. Senza il riavvio non puoi davvero sbarazzarti di questo virus se è sempre in memoria. Non è nemmeno necessario modificare le cartelle dopo averlo interrotto: basta rimuovere i file e i collegamenti e questo è tutto.
Oleg Bolden,
0

Per me c'erano due opzioni:

  1. Per il trojan che sta scherzando con i file in / usr / bin ho fatto solo questo: echo> /lib/libudev.so Uccidi il PID trojan

  2. Per quello che scherza con / bin (qui c'erano sempre 5-10 processi in esecuzione per una frazione chattr + i / bin e segui i passaggi menzionati da rainysia

Zatarra
fonte
0

Abbiamo anche lo stesso problema, i nostri server sono anche hackerati e ho scoperto che hanno forzato il login ssh e hanno avuto successo e iniettato trojan nel nostro sistema.

Di seguito sono riportati i dettagli:

less / var / log / secure | grep "Password non riuscita" | grep "222.186.15.26" | wc -l 37772 avviato

e ho avuto accesso in seguito: Password accettata per root dalla porta 222.186.15.26 65418 ssh2

E secondo IP Location Finder questo IP appartiene a qualche parte della Cina.

Passaggi correttivi: seguire i passaggi indicati da: @rainysia

Passaggi preventivi ::

  1. Secondo me un po 'di gestione delle notifiche dovrebbe essere lì quando qualcuno ha provato a ssh o ad accedere al tuo server e fallire molte volte.
  2. I controller della velocità di rete dovrebbero essere presenti se si utilizza una piattaforma cloud come aws, gcp, azzurro ecc ...
Sahil Aggarwal
fonte
1
ma prima, non consentire l'accesso root tramite ssh, non consentire l'accesso ssh con password, consentire solo l'accesso via ssh con le chiavi
pietrovismara,
0

Ho avuto questo virus del pollo, quando ho esposto le porte predefinite in ordine per connettermi all'accesso remoto dal mio computer di casa. nel mio caso questo sito mi ha aiutato

passi

1) Elenca i file in cron oraria. Se riesci a vedere qualsiasi file .sh, per favore aprilo.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) Se il file .sh mostra dati simili a quelli mostrati di seguito, è un programma Virus !! 

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) Ora, per favore, non avere fretta! Mantieni la calma e la calma: D

Non eliminare gcc.sh o non rimuovere crontab. Se lo elimini o lo rimuovi, verrà immediatamente generato un altro processo. Puoi rimuovere lo script del colpevole o disabilitarlo. [Preferisco disabilitarlo per mostrare la prova al cliente]

root@vps-# rm -f /etc/cron.hourly/gcc.sh;

O

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) Utilizzare il comando top per visualizzare virus o file dannosi (ad esempio: "mtyxkeaofa") PID è 16621, non uccidere direttamente il programma, altrimenti produrrà di nuovo, ma per interrompere il suo funzionamento utilizzare il comando seguente.

root@vps- # kill -STOP 16621

Elimina i file in /etc/init.d. o disabilita [Preferisco disabilitarlo per mostrare la prova al cliente]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

O 

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa;

6) Elimina / usr / bin all'interno degli archivi.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) Controlla / usr / bin archivia le modifiche recenti, il virus può anche essere eliminato se l'altro sospetto è nella stessa directory.

root@vps-# ls -lt /usr/bin | head

8) Ora uccidi il programma dannoso, non produrrà.

root@vps-# pkill mtyxkeaofa

9) Rimuovere il corpo del virus.

root@vps-# rm -f /lib/libudev.so

Questo trojan è anche noto come botnet DoS multipiattaforma di pollo cinese Trojan, Unix - Trojan.DDoS_XOR-1, Embedded rootkit,

Nota: se non riesci a trovare il file .sh, ti preghiamo di installare ClamAV, RKHunter e controllare i registri / segnalazioni per trovare il sospetto / dannoso

collegamento al sito reale

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

Yashwanth Kambala
fonte
2
Sebbene questo collegamento possa rispondere alla domanda, è meglio includere qui le parti essenziali della risposta e fornire il collegamento come riferimento. Le risposte di solo collegamento possono diventare non valide se la pagina collegata cambia. - Dalla recensione
CaldeiraG,
lo aggiornerò qui
Yashwanth Kambala il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.