Come posso uccidere malware minerd su un'istanza di AWS EC2? (server compromesso)

26

Ho trovato malware sulla mia istanza ec2 che estraeva continuamente bitcoin e utilizzava la mia potenza di elaborazione dell'istanza. Ho identificato con successo il processo, ma non sono stato in grado di rimuoverlo e ucciderlo.

Ho eseguito questo comando watch "ps aux | sort -nrk 3,3 | head -n 5" Mostra i primi cinque processi in esecuzione sulla mia istanza, da cui ho scoperto che esiste un nome di processo ' bashd ' che consumava il 30% della CPU. Il processo è

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Ho ucciso questo processo usando il kill -9 process_idcomando. Dopo 5 secondi, il processo è ricominciato.

linux  process  kill  malware 
Nadeem Ahmed
fonte
4
Non fornisci abbastanza dettagli (almeno diversi comandi che hai provato)
Basile Starynkevitch
28
"I server sono bovini, non animali domestici." Soprattutto server virtuali che sono davvero facili da creare e distruggere. Butta via questo (terminalo) e creane un altro. Oppure creane un altro, passa e mantieni il vecchio mentre scopri come è arrivato il malware.
user253751
14
la tua istanza è compromessa,
eliminala
4
(nota per chiunque legga questo: "i server sono bovini, non animali domestici" si applica solo ai server cloud o a un gran numero di server identici)
user253751
1
questo sta estraendo Monero, non bitcoin (se è importante)
Dmitry Kudriavtsev

Risposte:

83

Se non hai inserito il software e / o se ritieni che la tua istanza cloud sia compromessa: prendila off-line, eliminala e ricostruiscila da zero (ma leggi prima il link in basso). Non ti appartiene più, non puoi più fidarti .

Vedere "Come gestire un server compromesso" su ServerFault per ulteriori informazioni su cosa fare e come comportarsi quando viene compromessa una macchina.

Oltre alle cose da fare e pensare nell'elenco (i) collegato (i) sopra, tenere presente che, a seconda di chi sei e dove sei, potresti avere l'obbligo legale di segnalarlo a una sicurezza IT locale / centrale squadra / persona all'interno dell'organizzazione e / o alle autorità (possibilmente anche entro un determinato periodo di tempo).

In Svezia (da dicembre 2015), ad esempio, qualsiasi agenzia statale (ad es. Università) è tenuta a denunciare incidenti informatici entro 24 ore. La tua organizzazione avrà procedure documentate su come procedere.

Kusalananda
fonte
29
Amen. Penso che non si possa dire di meglio o trasmesso correttamente "non ti appartiene più"
Rui F Ribeiro,
20
E in primo luogo devi scoprire come è arrivato.
Kagronick,
12

Questo comando bashdè lo stesso ccminerdel ccminer-cryptonightprogramma per estrarre Monero sul tuo sistema (c'è un tuto: Monero - Cpminer-cyptonight minatore GPU su Linux ), bashdsi ottiene aliasing o modificando il codice sorgente del programma.

Cryptonight Malware: come uccidere il processo? (informazioni trovate sulla pagina Web di esperti di malware)

Questo nuovo malware che chiamiamo criptonight, ciò che non abbiamo mai visto prima. Scarica programmi eseguibili Linux e nasconde quel demone http in background, che a prima vista è difficile trovare l'elenco dei processi.

Procedura di rimozione manuale

Puoi cercare se è in esecuzione il processo httpd, che avvia il parametro cryptonight:

ps aux | grep cryptonight

Quindi solo kill -9 process_idcon i permessi di root (dovresti interrompere il processo e cryptonightnon ilbashd )

Per sicurezza dovresti:

  1. Reinstalla il tuo sistema
  2. Patch il tuo sistema per prevenire la vulnerabilità dell'attacco remoto: i server Linux sono stati dirottati sulla mia criptovaluta tramite la vulnerabilità di SambaCry
  3. Limitare gli utenti all'esecuzione di comandi limitati
GAD3R
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.