Bagaimana saya bisa membunuh malware kecil di instance AWS EC2? (server yang dikompromikan)

26

Saya menemukan malware di instance EC2 saya yang terus menambang bitcoin dan menggunakan kekuatan pemrosesan instance saya. Saya berhasil mengidentifikasi prosesnya, tetapi tidak dapat menghapus dan membunuhnya.

Saya menjalankan perintah ini. watch "ps aux | sort -nrk 3,3 | head -n 5" Ini menunjukkan lima proses teratas berjalan pada contoh saya, dari mana saya menemukan ada nama proses ' bashd ' yang memakan 30% cpu. Prosesnya adalah

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Saya membunuh proses ini dengan menggunakan kill -9 process_idperintah. Setelah 5 detik, proses dimulai lagi.

Nadeem Ahmed
sumber
4
Anda tidak memberikan rincian yang cukup (setidaknya beberapa perintah yang telah Anda coba)
Basile Starynkevitch
28
"Server adalah ternak, bukan hewan peliharaan." Terutama server virtual yang sangat mudah dibuat dan dihancurkan. Buang yang ini (akhiri) dan buat yang lain. Atau buat yang lain, pindah, dan simpan yang lama di sekitar saat Anda mencari tahu bagaimana malware itu ada di sana.
user253751
14
contoh Anda terganggu, biarkan itu dari orbit
njzk2
4
(catatan untuk orang lain yang membaca ini - "server adalah ternak, bukan hewan peliharaan" hanya berlaku untuk server cloud atau ke sejumlah besar server yang sama)
user253751
1
ini menambang Monero, bukan bitcoin (jika itu penting)
Dmitry Kudriavtsev

Jawaban:

83

Jika Anda tidak meletakkan perangkat lunak di sana dan / atau jika Anda merasa mesin virtual cloud Anda dikompromikan: Hapus, hapus, dan bangun kembali dari awal (tetapi baca tautan di bawah terlebih dahulu). Itu bukan milik Anda lagi, Anda tidak bisa mempercayainya lagi .

Lihat "Cara menangani server yang dikompromikan" di ServerFault untuk informasi lebih lanjut tentang apa yang harus dilakukan dan bagaimana berperilaku ketika membuat mesin dikompromikan.

Selain hal-hal yang harus dilakukan dan dipikirkan dalam daftar yang terkait di atas, perlu diketahui bahwa tergantung pada siapa Anda dan di mana Anda berada, Anda mungkin memiliki kewajiban hukum untuk melaporkannya ke keamanan TI lokal / pusat tim / orang dalam organisasi Anda dan / atau kepada pihak berwenang (mungkin bahkan dalam jangka waktu tertentu).

Di Swedia (sejak Desember 2015), misalnya, lembaga negara mana pun (misalnya universitas) wajib melaporkan insiden terkait TI dalam waktu 24 jam. Organisasi Anda akan memiliki prosedur yang terdokumentasi untuk bagaimana cara melakukan ini.

Kusalananda
sumber
29
Amin. Saya pikir itu tidak bisa dikatakan lebih baik atau disampaikan dengan benar "itu bukan milikmu lagi"
Rui F Ribeiro
20
Dan Anda perlu menemukan bagaimana itu ada di sana.
kagronick
12

Perintah bashdini sama seperti ccminerdari ccminer-cryptonightprogramm untuk menambang Monero di sistem Anda (ada tuto: Monero - Ccminer-cryptonight penambang GPU di Linux ), bashddiperoleh dengan cara aliasing atau dengan memodifikasi kode sumber program.

Cryptonight Malware: bagaimana cara mematikan prosesnya? (informasi ditemukan di halaman pakar malware)

Ini lagi malware baru yang kami sebut cryptonight, apa yang belum pernah kami lihat sebelumnya. Ini mengunduh program Linux yang dapat dieksekusi dan menyembunyikan daemon http di latar belakang, yang sulit ditemukan pada daftar proses sekilas.

Proses penghapusan manual

Anda dapat mencari jika ada proses yang menjalankan httpd, yang memulai parameter cryptonight:

ps aux | grep cryptonight

Kemudian hanya kill -9 process_iddengan izin root. (Anda harus membunuh proses cryptonightbukan bashd)

Agar aman, Anda harus:

  1. Pasang kembali sistem Anda
  2. Patch sistem Anda untuk mencegah kerentanan serangan jarak jauh: Server Linux Dibajak untuk Menambang Cryptocurrency melalui Kerentanan SambaCry
  3. Batasi pengguna untuk menjalankan perintah terbatas
GAD3R
sumber