Proses linux tidak dikenal dengan perintah acak

12

Saya memiliki proses yang tidak dikenal ketika saya menjalankan top:

masukkan deskripsi gambar di sini

  • Ketika saya membunuh proses itu datang lagi dengan nama acak lain.
  • ketika saya memeriksa level rc.d dan init.d ada banyak nama acak yang mirip seperti ini dan ini juga ada.
  • ketika saya mencoba untuk apt-get menghapus atau anthing elses itu akan datang lagi.
  • ketika saya mencolokkan kabel jaringan itu mengunci seluruh jaringan kami.

Apakah Anda tahu bagaimana cara menghapusnya?

Apa layanan / proses ini?

Ini adalah file exe, ketika saya menghapusnya, ia akan datang kembali juga. 

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Ketika saya memeriksa "netstat -natp" ada alamat asing establisment adalah 98.126.251.114:2828. Ketika saya mencoba menambahkan aturan ke iptables, itu tidak berfungsi. Tetapi setelah mencoba dan kemudian restart alamat ini berubah menjadi 66.102.253.30:2828 yang satu ini.

OS adalah Debian Wheeze

linux ubuntu ssh debian virus pengguna1424059
sumber
5
Mungkin beberapa klien botnet (mesin Anda dikompromikan). Anda harus mencari tahu bagaimana memulai. Utilitas seperti cruftmungkin berguna untuk melihat file apa yang bukan milik paket.
Dan
2
ps lakan menunjukkan kepada Anda apa proses induknya. Kemungkinan besar, itu akan memberi tahu Anda apa yang memunculkan proses ini. Lihatlah kolom PPID untuk informasi yang Anda inginkan. Saya tidak akan begitu cepat untuk mendeklarasikan malware ini.
krowe
+1 untuk memeriksa proses induk. Dan jika file itu /use/bin/hgmjzjkpxaada (mungkinkah berada di / usr?) Apakah itu juga sebuah tautan, atau sesuatu yang menarik terdaftar ls -la, atau dilihat dengan lessatau strings?
Xen2050
tidak ada proses orang tua, sepertinya proses whoami, ada satu hal ketika saya memeriksa "netstat -natp" ada alamat asing establisment adalah 98.126.251.114:2828. ketika saya mencoba menambahkan aturan ke iptables, itu tidak berfungsi. Tetapi setelah mencoba dan kemudian restart alamat ini berubah menjadi 66.102.253.30:2828 yang satu ini. apakah kamu punya ide tentang ini?
user1424059

Jawaban:

15

Saya memiliki beberapa pengalaman tentang trojan string 10bit acak ini, Ini akan mengirim banyak paket untuk SYN flood.

  1. Kurangi jaringan Anda

Trojan memiliki file mentah yang berasal /lib/libudev.so, itu akan menyalin dan bercabang lagi. Itu juga akan menambahkan cron.hourlypekerjaan bernama gcc.sh, maka itu akan menambahkan skrip awal di Anda /etc/rc*.d(Debian, CentOS mungkin /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. Gunakan rootuntuk menjalankan skrip di bawah ini untuk mengubah hak istimewa folder:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Hapus semua /etc/rc{0,1,2,3,4,5,6,S}.dfile yang dibuat hari ini, Namanya mirip S01????????.

  3. Edit crontab Anda, hapus gcc.shskrip di Anda /etc/cron.hourly, hapus gcc.shfile ( /etc/cron.hourly/gcc.sh) lalu tambahkan hak istimewa untuk crontab Anda:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Gunakan perintah ini untuk memeriksa perubahan file terbaru: ls -lrt

Jika Anda menemukan file yang mencurigakan bernama S01xxxxxxxx(atau K8xxxxxxxx), hapuslah.

  1. Maka Anda harus reboot tanpa jaringan.

Maka trojan harus dibersihkan dan Anda dapat memodifikasi hak folder untuk nilai-nilai asli ( chattr -i /lib /etc/crontab).

rainysia
sumber
Instruksi dalam jawaban ini menyelamatkan saya. Terlepas dari usianya, trojan ini tampaknya masih berada di alam liar. Namun, pada langkah 4 ada kesalahan, karena perintah sed tidak benar-benar mengubah file. Hal ini hanya dimodifikasi, meskipun: sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab. Juga, menurut tautan dalam jawaban @Colin Rosenthal, infeksi terjadi melalui kata sandi root ssh brute-forced. Jadi, untuk mencegah infeksi ulang, ubah atau nonaktifkan kata sandi root sebelum memulai ulang jaringan.
frederik
chattr -i /libmengembalikan chattr: Operation not supported while reading flags on /libpetunjuk? Saya / lib menunjuk ke usr / lib
keledai
Saya juga tidak dapat memulihkan jaringan bahkan setelah melakukan sudo apt install
keledai
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / saat menjalankan ditolak, bahkan dijalankan dengan su dan sudo
Yashwanth Kambala
15

Ini dikenal sebagai XORDDos Linux Trojan. Triknya adalah menjalankan killdengan -STOPagar proses dihentikan sementara sehingga tidak membuat yang baru.

`kill -STOP PROCESS_ID`
Aljazair
sumber
Bagus. Inilah tepatnya yang saya cari. Tanpa reboot Anda benar-benar tidak bisa menyingkirkan virus ini jika selalu ada dalam memori. Anda bahkan tidak perlu chmod folder apa pun setelah menghentikannya - cukup hapus file dan tautan dan itu saja.
Oleg Bolden
0

Bagi saya ada dua opsi:

  1. Untuk trojan yang mengacaukan file di / usr / bin, saya hanya melakukan ini: echo> /lib/libudev.so Bunuh trojan PID

  2. Untuk yang mengacaukan / bin (di sini selalu ada 5-10 proses yang berjalan untuk chattr pecahan + i / bin dan ikuti langkah-langkah yang disebutkan oleh rainysia

Zatarra
sumber
0

Kami juga menghadapi masalah yang sama, server kami juga diretas dan saya menemukan bahwa mereka dengan kasar memaksa ssh login dan mendapatkan keberhasilan dan menyuntikkan trojan di sistem kami.

Berikut ini rinciannya:

kurang / var / log / secure | grep 'Gagal kata sandi' | grep '222.186.15.26' | wc-l 37772 dimulai

dan mendapat akses di bawah waktu: Kata sandi yang diterima untuk root dari 222.186.15.26 port 65418 ssh2

Dan sesuai IP Location Finder, ip ini milik suatu tempat di Cina.

Langkah- langkah perbaikan : harap ikuti langkah-langkah yang diberikan oleh: @rainysia

Langkah-langkah pencegahan ::

  1. Menurut saya beberapa pengaturan managemnet harus ada ketika seseorang mencoba ssh atau mengakses server Anda dan gagal berkali-kali.
  2. Pengontrol Kecepatan Jaringan harus ada di sana jika Anda menggunakan platform cloud seperti aws, gcp, azure dll ...
Sahil Aggarwal
sumber
1
tetapi pertama-tama, larang akses root melalui ssh, larang akses ssh dengan kata sandi, izinkan hanya akses melalui ssh dengan kunci
pietrovismara
0

Saya mendapatkan virus ayam ini, ketika saya membuka port default inorder untuk terhubung ke akses jarak jauh dari mesin di rumah saya. dalam kasus saya situs ini membantu saya

Langkah

1) Daftar file di bawah cron per jam. Jika Anda dapat melihat file .sh, harap buka.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) Jika file .sh menampilkan data yang sama seperti yang ditunjukkan di bawah ini, maka itu adalah program Virus !! 

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) Sekarang, tolong jangan terburu-buru! Tetap tenang dan mudah: D

Jangan hapus gcc.sh atau jangan hapus crontab. Jika Anda menghapus atau menghapusnya, maka proses lain akan segera menghasilkan. Anda dapat menghapus skrip pelakunya atau menonaktifkannya. [Saya lebih suka menonaktifkannya untuk menunjukkan bukti kepada pelanggan]

root@vps-# rm -f /etc/cron.hourly/gcc.sh;

ATAU

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) Gunakan perintah teratas untuk melihat file virus atau file berbahaya (Misalnya: "mtyxkeaofa") PID adalah 16621, jangan langsung mematikan program, jika tidak akan kembali menghasilkan, tetapi untuk menghentikan operasinya gunakan perintah di bawah ini.

root@vps- # kill -STOP 16621

Hapus file dalam /etc/init.d. atau nonaktifkan [Saya lebih suka menonaktifkannya untuk menunjukkan bukti kepada pelanggan]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

ATAU 

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa;

6) Hapus / usr / bin di dalam arsip.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) Periksa / usr / bin arsip perubahan terbaru, virus juga dapat dihapus jika tersangka lain adalah direktori yang sama.

root@vps-# ls -lt /usr/bin | head

8) Sekarang bunuh program jahat, itu tidak akan menghasilkan.

root@vps-# pkill mtyxkeaofa

9) Hapus tubuh virus.

root@vps-# rm -f /lib/libudev.so

Trojan ini juga dikenal sebagai Botnets DoS Chinese Chicken Multiplatform Trojan, Unix - Trojan.DDoS_XOR-1, Embedded rootkit,

Catatan: Jika Anda tidak dapat menemukan file .sh, Anda dapat menginstal ClamAV, RKHunter dan memeriksa log / laporan untuk menemukan yang mencurigakan / berbahaya

tautan ke situs yang sebenarnya

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

Yashwanth Kambala
sumber
2
Meskipun tautan ini dapat menjawab pertanyaan, lebih baik untuk memasukkan bagian-bagian penting dari jawaban di sini dan memberikan tautan untuk referensi. Jawaban hanya tautan dapat menjadi tidak valid jika halaman tertaut berubah. - Dari Ulasan
CaldeiraG
akan memperbarui itu di sini
Yashwanth Kambala