AWS EC2 인스턴스에서 지뢰 멀웨어를 어떻게 죽일 수 있습니까? (손상된 서버)

비트 코인을 지속적으로 채굴하고 인스턴스 처리 능력을 사용하는 EC2 인스턴스에서 악성 코드를 발견했습니다. 프로세스를 성공적으로 식별했지만 제거 및 종료 할 수 없습니다.

이 명령을 watch "ps aux | sort -nrk 3,3 | head -n 5" 실행했습니다. 인스턴스에서 실행중인 상위 5 개 프로세스를 보여줍니다. 이 프로세스에서 CPU의 30 %를 소비 하는 프로세스 이름 ' bashd '가 있습니다. 과정은

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

kill -9 process_id명령 을 사용하여이 프로세스를 종료했습니다 . 5 초 후 프로세스가 다시 시작되었습니다.

소프트웨어를 설치하지 않았거나 클라우드 인스턴스가 손상되었다고 생각되는 경우 : 오프라인 상태에서 삭제 한 후 처음부터 다시 작성하십시오 (그러나 먼저 아래 링크를 읽으십시오). 더 이상 당신에게 속하지 않으며, 더 이상 믿을 수 없습니다 .

수행 할 작업 및 시스템 손상시 동작 방법에 대한 자세한 내용은 ServerFault에서 "손상된 서버를 처리하는 방법"을 참조하십시오 .

위에 링크 된 목록에서해야 할 일과 생각하는 것 외에도 자신의 위치와 위치에 따라 현지 / 중앙 IT 보안 부서 에보고 해야 할 법적 의무 가 있음을 명심하십시오. 조직 및 / 또는 당국의 팀 / 사람 (아마도 특정 기간 내에).

예를 들어 스웨덴 (2015 년 12 월 이후)에서는 모든 주정부 기관 (예 : 대학)이 24 시간 이내에 IT 관련 사건을보고해야합니다. 귀사에서이를 수행하는 방법에 대한 절차를 문서화했습니다.

이 명령 bashd과 동일합니다 ccminer에서 ccminer-cryptonight시스템에 내 Monero에 programm에 (TUTO가 : Monero - 리눅스에 Ccminer - cryptonight GPU 광부 )는이 bashd앨리어싱이나 프로그램의 소스 코드를 수정하여 얻을 수있다.

Cryptonight Malware : 프로세스를 종료하는 방법? (맬웨어 전문가 웹 페이지에있는 정보)

우리가 cryptonight라고 부르는이 새로운 악성 코드는 이전에는 보지 못했던 것입니다. 실행 가능한 Linux 프로그램을 다운로드하고 백그라운드에서 해당 http 데몬을 숨 깁니다. 언뜻보기에는 프로세스 목록을 찾기가 어렵습니다.

수동 제거 프로세스

cryptonight 매개 변수를 시작하는 httpd 프로세스가 실행 중인지 검색 할 수 있습니다.

ps aux | grep cryptonight

그런 다음 kill -9 process_id루트 권한으로. ( cryptonight아닌 프로세스를 종료해야 함 bashd)

안전을 위해 다음을 수행해야합니다.

1. 시스템을 다시 설치하십시오
2. 원격 공격 취약점을 방지하기 위해 시스템 패치 : SambaCry 취약점을 통해 암호 화폐에 유출 된 Linux 서버
3. 사용자가 제한된 명령을 실행하도록 제한