Saya memiliki proses yang tidak dikenal ketika saya menjalankan top
:
- Ketika saya membunuh proses itu datang lagi dengan nama acak lain.
- ketika saya memeriksa level rc.d dan init.d ada banyak nama acak yang mirip seperti ini dan ini juga ada.
- ketika saya mencoba untuk apt-get menghapus atau anthing elses itu akan datang lagi.
- ketika saya mencolokkan kabel jaringan itu mengunci seluruh jaringan kami.
Apakah Anda tahu bagaimana cara menghapusnya?
Apa layanan / proses ini?
Ini adalah file exe, ketika saya menghapusnya, ia akan datang kembali juga.
/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa
Ketika saya memeriksa "netstat -natp" ada alamat asing establisment adalah 98.126.251.114:2828. Ketika saya mencoba menambahkan aturan ke iptables, itu tidak berfungsi. Tetapi setelah mencoba dan kemudian restart alamat ini berubah menjadi 66.102.253.30:2828 yang satu ini.
OS adalah Debian Wheeze
cruft
mungkin berguna untuk melihat file apa yang bukan milik paket.ps l
akan menunjukkan kepada Anda apa proses induknya. Kemungkinan besar, itu akan memberi tahu Anda apa yang memunculkan proses ini. Lihatlah kolom PPID untuk informasi yang Anda inginkan. Saya tidak akan begitu cepat untuk mendeklarasikan malware ini./use/bin/hgmjzjkpxa
ada (mungkinkah berada di / usr?) Apakah itu juga sebuah tautan, atau sesuatu yang menarik terdaftarls -la
, atau dilihat denganless
ataustrings
?Jawaban:
Saya memiliki beberapa pengalaman tentang trojan string 10bit acak ini, Ini akan mengirim banyak paket untuk SYN flood.
Trojan memiliki file mentah yang berasal
/lib/libudev.so
, itu akan menyalin dan bercabang lagi. Itu juga akan menambahkancron.hourly
pekerjaan bernamagcc.sh
, maka itu akan menambahkan skrip awal di Anda/etc/rc*.d
(Debian, CentOS mungkin/etc/rc.d/{init,rc{1,2,3,4,5}}.d
)Gunakan
root
untuk menjalankan skrip di bawah ini untuk mengubah hak istimewa folder:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
Hapus semua
/etc/rc{0,1,2,3,4,5,6,S}.d
file yang dibuat hari ini, Namanya miripS01????????
.Edit crontab Anda, hapus
gcc.sh
skrip di Anda/etc/cron.hourly
, hapusgcc.sh
file (/etc/cron.hourly/gcc.sh
) lalu tambahkan hak istimewa untuk crontab Anda:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
Gunakan perintah ini untuk memeriksa perubahan file terbaru:
ls -lrt
Jika Anda menemukan file yang mencurigakan bernama
S01xxxxxxxx
(atauK8xxxxxxxx
), hapuslah.Maka trojan harus dibersihkan dan Anda dapat memodifikasi hak folder untuk nilai-nilai asli (
chattr -i /lib /etc/crontab
).sumber
sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
. Juga, menurut tautan dalam jawaban @Colin Rosenthal, infeksi terjadi melalui kata sandi root ssh brute-forced. Jadi, untuk mencegah infeksi ulang, ubah atau nonaktifkan kata sandi root sebelum memulai ulang jaringan.chattr -i /lib
mengembalikanchattr: Operation not supported while reading flags on /lib
petunjuk? Saya / lib menunjuk ke usr / libIni dikenal sebagai XORDDos Linux Trojan. Triknya adalah menjalankan
kill
dengan-STOP
agar proses dihentikan sementara sehingga tidak membuat yang baru.sumber
Saya berani bertaruh satu dolar untuk itu https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ . Semua gejala Anda persis seperti yang dijelaskan.
sumber
Bagi saya ada dua opsi:
Untuk trojan yang mengacaukan file di / usr / bin, saya hanya melakukan ini: echo> /lib/libudev.so Bunuh trojan PID
Untuk yang mengacaukan / bin (di sini selalu ada 5-10 proses yang berjalan untuk chattr pecahan + i / bin dan ikuti langkah-langkah yang disebutkan oleh rainysia
sumber
Kami juga menghadapi masalah yang sama, server kami juga diretas dan saya menemukan bahwa mereka dengan kasar memaksa ssh login dan mendapatkan keberhasilan dan menyuntikkan trojan di sistem kami.
Berikut ini rinciannya:
kurang / var / log / secure | grep 'Gagal kata sandi' | grep '222.186.15.26' | wc-l 37772 dimulai
dan mendapat akses di bawah waktu: Kata sandi yang diterima untuk root dari 222.186.15.26 port 65418 ssh2
Dan sesuai IP Location Finder, ip ini milik suatu tempat di Cina.
Langkah- langkah perbaikan : harap ikuti langkah-langkah yang diberikan oleh: @rainysia
Langkah-langkah pencegahan ::
sumber
Saya mendapatkan virus ayam ini, ketika saya membuka port default inorder untuk terhubung ke akses jarak jauh dari mesin di rumah saya. dalam kasus saya situs ini membantu saya
Langkah
1) Daftar file di bawah cron per jam. Jika Anda dapat melihat file .sh, harap buka.
2) Jika file .sh menampilkan data yang sama seperti yang ditunjukkan di bawah ini, maka itu adalah program Virus !!
3) Sekarang, tolong jangan terburu-buru! Tetap tenang dan mudah: D
Jangan hapus gcc.sh atau jangan hapus crontab. Jika Anda menghapus atau menghapusnya, maka proses lain akan segera menghasilkan. Anda dapat menghapus skrip pelakunya atau menonaktifkannya. [Saya lebih suka menonaktifkannya untuk menunjukkan bukti kepada pelanggan]
ATAU
4) Gunakan perintah teratas untuk melihat file virus atau file berbahaya (Misalnya: "mtyxkeaofa") PID adalah 16621, jangan langsung mematikan program, jika tidak akan kembali menghasilkan, tetapi untuk menghentikan operasinya gunakan perintah di bawah ini.
Hapus file dalam /etc/init.d. atau nonaktifkan [Saya lebih suka menonaktifkannya untuk menunjukkan bukti kepada pelanggan]
ATAU
6) Hapus / usr / bin di dalam arsip.
7) Periksa / usr / bin arsip perubahan terbaru, virus juga dapat dihapus jika tersangka lain adalah direktori yang sama.
8) Sekarang bunuh program jahat, itu tidak akan menghasilkan.
9) Hapus tubuh virus.
Trojan ini juga dikenal sebagai Botnets DoS Chinese Chicken Multiplatform Trojan, Unix - Trojan.DDoS_XOR-1, Embedded rootkit,
tautan ke situs yang sebenarnya
https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/
sumber