AWS EC2 인스턴스에서 지뢰 멀웨어를 어떻게 죽일 수 있습니까? (손상된 서버)


26

비트 코인을 지속적으로 채굴하고 인스턴스 처리 능력을 사용하는 EC2 인스턴스에서 악성 코드를 발견했습니다. 프로세스를 성공적으로 식별했지만 제거 및 종료 할 수 없습니다.

이 명령을 watch "ps aux | sort -nrk 3,3 | head -n 5" 실행했습니다. 인스턴스에서 실행중인 상위 5 개 프로세스를 보여줍니다. 이 프로세스에서 CPU의 30 %를 소비 하는 프로세스 이름 ' bashd '가 있습니다. 과정은

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

kill -9 process_id명령 을 사용하여이 프로세스를 종료했습니다 . 5 초 후 프로세스가 다시 시작되었습니다.


4
당신은 (적어도 몇 가지 명령에 당신은 시도 것을) 충분한 정보를 제공하지 않습니다
실레 Starynkevitch에게

28
"서버는 애완 동물이 아니라 가축입니다." 특히 생성 및 파괴가 쉬운 가상 서버 . 이 것을 버리고 (종료) 다른 것을 만드십시오. 또는 멀웨어가 어떻게 발생했는지 파악하면서 다른 것을 만들고 전환하여 기존 것을 유지하십시오.
user253751

14
인스턴스가 손상되어 궤도에서 핵 공격
njzk2

4
(누구를위한 참고 다른 사람이 읽기 - "서버입니다 소, 아니 애완 동물" 전용 클라우드 서버에 적용 하거나 동일한 다수의 서버에)
user253751

1
이 (가 중요한 경우)하지 비트 코인 Monero 광업한다
드미트리 Kudriavtsev

답변:


83

소프트웨어를 설치하지 않았거나 클라우드 인스턴스가 손상되었다고 생각되는 경우 : 오프라인 상태에서 삭제 한 후 처음부터 다시 작성하십시오 (그러나 먼저 아래 링크를 읽으십시오). 더 이상 당신에게 속하지 않으며, 더 이상 믿을 수 없습니다 .

수행 할 작업 및 시스템 손상시 동작 방법에 대한 자세한 내용은 ServerFault에서 "손상된 서버를 처리하는 방법"을 참조하십시오 .

위에 링크 된 목록에서해야 할 일과 생각하는 것 외에도 자신의 위치와 위치에 따라 현지 / 중앙 IT 보안 부서 에보고 해야 할 법적 의무 가 있음을 명심하십시오. 조직 및 / 또는 당국의 팀 / 사람 (아마도 특정 기간 내에).

예를 들어 스웨덴 (2015 년 12 월 이후)에서는 모든 주정부 기관 (예 : 대학)이 24 시간 이내에 IT 관련 사건을보고해야합니다. 귀사에서이를 수행하는 방법에 대한 절차를 문서화했습니다.


29
아멘. 나는 그것이 더 이상 당신에게 속하지 않는다고 말하거나 더 잘 전달할 수 없다고 생각합니다
Rui F Ribeiro

20
그리고 어떻게 그것이 처음에 도착했는지 찾아야합니다.
kagronick

12

이 명령 bashd과 동일합니다 ccminer에서 ccminer-cryptonight시스템에 내 Monero에 programm에 (TUTO가 : Monero - 리눅스에 Ccminer - cryptonight GPU 광부 )는이 bashd앨리어싱이나 프로그램의 소스 코드를 수정하여 얻을 수있다.

Cryptonight Malware : 프로세스를 종료하는 방법? (맬웨어 전문가 웹 페이지에있는 정보)

우리가 cryptonight라고 부르는이 새로운 악성 코드는 이전에는 보지 못했던 것입니다. 실행 가능한 Linux 프로그램을 다운로드하고 백그라운드에서 해당 http 데몬을 숨 깁니다. 언뜻보기에는 프로세스 목록을 찾기가 어렵습니다.

수동 제거 프로세스

cryptonight 매개 변수를 시작하는 httpd 프로세스가 실행 중인지 검색 할 수 있습니다.

ps aux | grep cryptonight

그런 다음 kill -9 process_id루트 권한으로. ( cryptonight아닌 프로세스를 종료해야 함 bashd)

안전을 위해 다음을 수행해야합니다.

  1. 시스템을 다시 설치하십시오
  2. 원격 공격 취약점을 방지하기 위해 시스템 패치 : SambaCry 취약점을 통해 암호 화폐에 유출 된 Linux 서버
  3. 사용자가 제한된 명령을 실행하도록 제한
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.