무작위 명령으로 알 수없는 리눅스 프로세스

12

실행할 때 알 수없는 프로세스가 있습니다 top.

여기에 이미지 설명을 입력하십시오

  • 프로세스를 종료하면 다른 임의의 이름으로 다시 나타납니다.
  • rc.d 레벨과 init.d를 확인할 때 이와 비슷한 임의의 이름이 있으며이 이름도 있습니다.
  • 내가 제거하거나 다른 것을 apt-get하려고하면 다시오고 있습니다.
  • 네트워크 케이블을 꽂으면 전체 네트워크가 잠 깁니다.

어떻게 제거 할 수 있는지 아십니까?

이 서비스 / 프로세스는 무엇입니까?

이것은 exe 파일입니다. 삭제하면 다시옵니다. 

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

"netstat -natp"를 확인할 때 외부 주소는 98.126.251.114:2828입니다. iptables에 규칙을 추가하려고하면 작동하지 않습니다. 그러나 시도한 다음이 주소를 다시 66.102.253.30:2828로 변경하십시오.

OS는 데비안 Wheeze입니다

linux  ubuntu  ssh  debian  virus 
사용자 1424059
소스
5
아마도 일부 봇넷 클라이언트 (시스템이 손상되었을 수 있습니다). 시작 방법을 찾아야합니다. 같은 유틸리티 cruft는 패키지에 속하지 않은 파일을 확인하는 데 유용합니다.
Dan
2
ps l부모 프로세스가 무엇인지 보여줍니다. 아마도이 과정에서 무엇이 발생하는지 알려줄 것입니다. 원하는 정보는 PPID 열을보십시오. 이 맬웨어를 너무 빨리 선언하지는 않습니다.
krowe
상위 프로세스를 확인하려면 +1 그리고 파일 /use/bin/hgmjzjkpxa이 존재하면 (/ usr에있을 수 있습니까?) 또한 링크이거나 다른에 흥미로운 내용 ls -laless있거나 또는 strings?
Xen2050
부모 프로세스가 없으며 whoami 프로세스처럼 보입니다. "netstat -natp"를 확인할 때 외국 주소가 98.126.251.114:2828 인 경우 한 가지가 있습니다. iptables에 규칙을 추가하려고하면 작동하지 않습니다. 그러나 시도한 다음이 주소를 다시 66.102.253.30:2828로 변경하십시오. 이것에 대한 아이디어가 있습니까?
user1424059

답변:

15

이 임의의 10 비트 문자열 트로이 목마에 대한 경험이 있으며 SYN 플러드를 위해 많은 패킷을 보냅니다.

  1. 네트워크 삭감

트로이 목마는에서 온 원시 파일을 가지고 있으며 /lib/libudev.so, 다시 복사하고 포크합니다. 또한 cron.hourly라는 작업 을 추가 gcc.sh한 다음 초기 스크립트를 추가합니다 /etc/rc*.d(데비안, CentOS는 가능 /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. root폴더 권한을 변경하려면 아래 스크립트를 실행하는 데 사용하십시오 .chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. /etc/rc{0,1,2,3,4,5,6,S}.d오늘 생성 된 모든 파일을 삭제하십시오 S01????????. 이름은 다음과 같습니다 .

  3. crontab을 편집하고에서 gcc.sh스크립트를 /etc/cron.hourly삭제하고 gcc.sh파일 ( /etc/cron.hourly/gcc.sh)을 삭제 한 다음 crontab에 대한 권한을 추가하십시오.sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. 이 명령을 사용하여 최신 파일 변경 사항을 확인하십시오. ls -lrt

이름이 S01xxxxxxxx(또는 K8xxxxxxxx) 인 의심스러운 파일이 있으면 삭제하십시오.

  1. 그런 다음 네트워크없이 재부팅해야합니다.

그런 다음 트로이 목마를 정리하고 폴더 권한을 원래 값 ( chattr -i /lib /etc/crontab)으로 수정할 수 있습니다 .

장마
소스
이 답변의 지침으로 저를 구했습니다. 나이에도 불구하고이 트로이 목마는 여전히 야생에있는 것 같습니다. 그러나 4 단계에서 sed 명령이 실제로 파일을 변경하지 않으므로 오류가 발생합니다. 그래도 간단하게 수정 sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab됩니다. 또한 @Colin Rosenthal의 답변 링크에 따르면 감염은 루트의 무차별 강제 ssh 암호를 통해 발생합니다. 따라서 재감염을 방지하려면 네트워크를 다시 시작하기 전에 루트 암호를 변경하거나 비활성화하십시오.
frederik
chattr -i /libchattr: Operation not supported while reading flags on /lib단서를 반환 합니까? 내 / lib가 usr / lib를 가리키고
당나귀
또한도 수행 한 후 네트워크를 복원 할 수 없습니다 수 있어요 sudo는 쉽다 설치 --reinstall libudev1
당나귀
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / 실행 중에 권한이 거부되었으며 su 및 sudo로 실행 됨
Yashwanth Kambala
15

이 작업은 XORDDos 리눅스 트로이 트릭으로 알려져있다 실행하는 것입니다 kill으로 -STOP는 새로운 하나를 생성하지 않도록 프로세스를 일시 중지 할 수.

`kill -STOP PROCESS_ID`
알제리
소스
큰. 이것이 바로 내가 찾던 것입니다. 재부팅하지 않으면 항상 바이러스가 메모리에 있으면이 바이러스를 제거 할 수 없습니다. 파일을 중지 한 후 폴더를 chmod하지 않아도됩니다. 파일과 링크 만 제거하면됩니다.
Oleg Bolden
0

나에게는 두 가지 옵션이 있었다.

  1. / usr / bin의 파일을 엉망으로 만드는 트로이 목마의 경우에만 다음을 수행했습니다. echo> /lib/libudev.so 트로이 PID 죽이기

  2. / bin을 망친 사람의 경우 (여기서 항상 chattr + i / bin에 대해 5-10 개의 프로세스가 실행 중이며 rainysia가 언급 한 단계를 따르십시오.

자 타라
소스
0

우리는 또한 같은 문제에 직면하고 있습니다. 우리 서버도 해킹 당했고 그들은 ssh 로그인을 강요하고 시스템에 트로이 목마를 주입했습니다.

세부 사항은 다음과 같습니다.

less / var / log / secure | grep '실패한 비밀번호'| grep '222.186.15.26'| 화장실 -l 37772 시작

아래 시간에 액세스 할 수 있습니다 : 222.186.15.26 포트 65418 ssh2에서 root의 허용 암호

그리고 IP 위치 찾기에 따라이 IP는 중국 어딘가에 속합니다.

수정 단계 : 다음 단계를 수행하십시오. @rainysia

예방 단계 : :

  1. 나에 따르면 누군가가 서버를 ssh하거나 액세스하려고 시도하고 여러 번 실패했을 때 일부 알림 managemnet이 있어야합니다.
  2. aws, gcp, azure 등과 같은 클라우드 플랫폼을 사용하는 경우 네트워크 속도 컨트롤러가 있어야합니다 ...
사힐 아 가르 왈
소스
1
그러나 먼저, ssh를 통한 루트 액세스 금지, 비밀번호로 ssh 액세스 금지, 키로 ssh를 통한 액세스 만 허용
pietrovismara
0

기본 포트를 노출하여 가정용 컴퓨터에서 원격으로 액세스 할 때이 치킨 바이러스에 감염되었습니다. 내 경우에는이 사이트가 도움이되었습니다.

단계

1) 시간별 cron 아래에 파일을 나열하십시오. .sh 파일이 있으면여십시오.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) .sh 파일이 아래와 같이 유사한 데이터를 표시하면 바이러스 프로그램입니다 !! 

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) 자, 서두르지 마십시오! 침착하고 쉬워 라 : D

gcc.sh를 삭제하거나 crontab을 제거하지 마십시오. 삭제하거나 제거하면 다른 프로세스가 즉시 생성됩니다. 범인 스크립트를 제거하거나 비활성화 할 수 있습니다. [고객에게 증거를 표시하기 위해 사용 중지하는 것이 좋습니다]

root@vps-# rm -f /etc/cron.hourly/gcc.sh;

또는

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) top 명령을 사용하여 바이러스 또는 악성 파일을 봅니다 (예 : "mtyxkeaofa") PID는 16621입니다. 프로그램을 직접 종료하지 마십시오. 그렇지 않으면 다시 생성되지만 작동을 중지하려면 아래 명령을 사용하십시오.

root@vps- # kill -STOP 16621

/etc/init.d에서 파일을 삭제하십시오. 또는 사용 중지 [고객에게 증거를 표시하기 위해 사용 중지하는 것을 선호합니다]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

또는 

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa;

6) 아카이브에서 / usr / bin을 삭제하십시오.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) / usr / bin이 최근 변경 사항을 아카이브하는지 확인하십시오. 다른 용의자가 동일한 디렉토리 인 경우 바이러스를 삭제할 수도 있습니다.

root@vps-# ls -lt /usr/bin | head

8) 이제 악성 프로그램을 죽여도 생성되지 않습니다.

root@vps-# pkill mtyxkeaofa

9) 바이러스를 제거하십시오.

root@vps-# rm -f /lib/libudev.so

이 트로이 목마는 Chinese Chicken Multiplatform DoS 봇넷 트로이 목마로도 알려져 있습니다-Trojan.DDoS_XOR-1, Embedded rootkit,

참고 : .sh 파일을 찾을 수없는 경우 ClamAV, RKHunter를 설치하고 로그 / 보고서를 확인하여 의심스러운 / 악의적 인 부분을 찾으십시오.

실제 사이트로 연결

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

야 스완 ​​트 캄 발라
소스
2
이 링크가 질문에 대한 답변을 제공 할 수 있지만 여기에 답변의 필수 부분을 포함시키고 참조 용 링크를 제공하는 것이 좋습니다. 링크 된 페이지가 변경되면 링크 전용 답변이 유효하지 않을 수 있습니다. - 검토에서
CaldeiraG
여기에서 업데이트됩니다
Yashwanth Kambala
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.