Saya menemukan malware di instance EC2 saya yang terus menambang bitcoin dan menggunakan kekuatan pemrosesan instance saya. Saya berhasil mengidentifikasi prosesnya, tetapi tidak dapat menghapus dan membunuhnya.
Saya menjalankan perintah ini.
watch "ps aux | sort -nrk 3,3 | head -n 5"
Ini menunjukkan lima proses teratas berjalan pada contoh saya, dari mana saya menemukan ada nama proses ' bashd ' yang memakan 30% cpu. Prosesnya adalah
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
Saya membunuh proses ini dengan menggunakan kill -9 process_id
perintah. Setelah 5 detik, proses dimulai lagi.
Jawaban:
Jika Anda tidak meletakkan perangkat lunak di sana dan / atau jika Anda merasa mesin virtual cloud Anda dikompromikan: Hapus, hapus, dan bangun kembali dari awal (tetapi baca tautan di bawah terlebih dahulu). Itu bukan milik Anda lagi, Anda tidak bisa mempercayainya lagi .
Lihat "Cara menangani server yang dikompromikan" di ServerFault untuk informasi lebih lanjut tentang apa yang harus dilakukan dan bagaimana berperilaku ketika membuat mesin dikompromikan.
Selain hal-hal yang harus dilakukan dan dipikirkan dalam daftar yang terkait di atas, perlu diketahui bahwa tergantung pada siapa Anda dan di mana Anda berada, Anda mungkin memiliki kewajiban hukum untuk melaporkannya ke keamanan TI lokal / pusat tim / orang dalam organisasi Anda dan / atau kepada pihak berwenang (mungkin bahkan dalam jangka waktu tertentu).
Di Swedia (sejak Desember 2015), misalnya, lembaga negara mana pun (misalnya universitas) wajib melaporkan insiden terkait TI dalam waktu 24 jam. Organisasi Anda akan memiliki prosedur yang terdokumentasi untuk bagaimana cara melakukan ini.
sumber
Perintah
bashd
ini sama seperticcminer
dariccminer-cryptonight
programm untuk menambang Monero di sistem Anda (ada tuto: Monero - Ccminer-cryptonight penambang GPU di Linux ),bashd
diperoleh dengan cara aliasing atau dengan memodifikasi kode sumber program.Cryptonight Malware: bagaimana cara mematikan prosesnya? (informasi ditemukan di halaman pakar malware)
Proses penghapusan manual
Kemudian hanya
kill -9 process_id
dengan izin root. (Anda harus membunuh prosescryptonight
bukanbashd
)Agar aman, Anda harus:
sumber