Çalıştırdığımda bilinmeyen bir süreç var top:

• Süreci öldürdüğümde yine başka bir rastgele adla geliyor.
• rc.d seviyelerini ve init.d'i kontrol ettiğimde buna benzer birçok rastgele isim var ve bu da orada.
• apt-get kaldırmaya çalıştığımda ya da başka bir şey tekrar geldiğinde.
• ağ kablosunu taktığımda tüm ağımızı kilitliyor.

Nasıl kaldırabileceğime dair bir fikrin var mı?

Bu hizmet / süreç nedir?

Bu exe dosyası, sildiğimde, tekrar geliyor.

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

"Netstat -natp" ı işaretlediğimde bir kurumun yabancı adresi 98.126.251.114:2828. Ben iptables kural eklemeye çalıştığınızda, çalışmıyor. Ancak denedikten ve yeniden başlattıktan sonra bu adresi 66.102.253.30:2828 olarak değiştirin.

İşletim Sistemi Debian Wheeze

Bu rastgele 10bit dize trojan hakkında bazı deneyimlerim var, SYN sel için birçok paket gönderecek.

1. Ağınızı kesin

Truva'nın ham dosyası var /lib/libudev.so, tekrar kopyalanacak ve çatallanacak. Ayrıca cron.hourlyadlı bir iş ekleyecektir gcc.sh, ardından ilk komut dosyasını ekleyecektir /etc/rc*.d(Debian, CentOS olabilir /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

2. rootKlasör ayrıcalıklarını değiştirmek için aşağıdaki komut dosyasını çalıştırmak için kullanın :chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

3. /etc/rc{0,1,2,3,4,5,6,S}.dBugün oluşturulan tüm dosyaları silin , Adı gibi görünüyor S01????????.

4. Crontab'ınızı düzenleyin, içindeki gcc.shkomut dosyasını /etc/cron.hourlysilin, gcc.shdosyayı silin ( /etc/cron.hourly/gcc.sh) ve ardından crontab'ınız için ayrıcalıklar ekleyin:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

5. En son dosya değişikliklerini kontrol etmek için bu komutu kullanın: ls -lrt

S01xxxxxxxx(Veya K8xxxxxxxx) adlı şüpheli dosyalar bulursanız silin.

6. Sonra ağ olmadan yeniden başlatmalısınız.

Ardından trojan temizlenmelidir ve klasör ayrıcalıklarını orijinal değerlere ( chattr -i /lib /etc/crontab) değiştirebilirsiniz.

Bu XORDDos Linux Truva hile olarak bilinir çalıştırmaktır killile -STOPyeni bir tane oluşturmaz böylece süreç durdurulmuş olması için.

`kill -STOP PROCESS_ID`

Sana bir dolar bahse girerim https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ . Tüm belirtileriniz tam olarak tarif edildiği gibidir.

Benim için iki seçenek vardı:

1. / Usr / bin içindeki dosyalarla karışan truva atı için sadece şunu yaptım: echo> /lib/libudev.so Truva atı PID'ini öldür

2. / Bin ile uğraşmak için (burada her zaman bir fraksiyon chattr + i / bin için çalışan 5-10 süreç vardı ve rainysia tarafından belirtilen adımları izleyin

Biz de aynı sorunla karşı karşıya, bizim sunucuları da Hacked ve ben kaba ssh giriş zorladı ve sistemimizde başarı ve enjekte trojan var bulundu.

Ayrıntılar aşağıdadır:

az / var / log / secure | grep 'Başarısız şifre' | grep '222.186.15.26' | wc -l 37772 başladı

ve aşağıdaki süreye erişildi: 222.186.15.26 bağlantı noktası 65418 ssh2'den kök için kabul edilen şifre

IP Yer Bulucu'ya göre bu ip Çin'de bir yere aittir.

Düzeltici Adımlar: lütfen şu adımları takip edin: @rainysia

Önleyici Adımlar ::

1. Bana göre birileri sunucunuzu ssh veya erişim ve birçok kez başarısız çalıştı bazı bildirim managementemnet olmalıdır.
2. Aws, gcp, azure vb.Gibi herhangi bir bulut platformu kullanıyorsanız Ağ Hızı denetleyicileri orada olmalıdır ...

Ev makinemden uzaktan erişime bağlanmak için varsayılan bağlantı noktalarını açtığımda bu tavuk virüsünü aldım. benim durumumda bu site bana yardımcı oldu

adımlar

1) Saatlik cron altındaki dosyaları listeleyin. Eğer herhangi bir .sh dosya görüyorsanız, lütfen açın.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) .sh dosyası aşağıda gösterildiği gibi benzer verileri gösteriyorsa, o zaman bir Virüs programı !!

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) Şimdi, lütfen acele etmeyin! Sakin ve kolay olun: D

Gcc.sh dosyasını silmeyin veya crontab'ı kaldırmayın. Silerseniz veya kaldırırsanız, başka bir işlem hemen oluşturulur. Suçlu komut dosyasını kaldırabilir veya devre dışı bırakabilirsiniz. [Müşteriye kanıt göstermek için devre dışı bırakmayı tercih ederim]

root@vps-# rm -f /etc/cron.hourly/gcc.sh; 

VEYA

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) Virüsü veya kötü amaçlı dosyayı görüntülemek için top komutunu kullanın (Örn: "mtyxkeaofa") PID 16621'dir, programı doğrudan öldürmeyin, aksi takdirde tekrar üretecektir, ancak çalışmasını durdurmak için aşağıdaki komutu kullanın.

root@vps- # kill -STOP 16621

/Etc/init.d içindeki dosyaları silin. veya devre dışı bırakma [Kanıtı müşteriye göstermek için devre dışı bırakmayı tercih ederim]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

VEYA

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa; 

6) Arşivlerin içindeki / usr / bin dosyasını silin.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) / usr / bin arşivindeki son değişiklikleri kontrol edin, diğer şüpheli aynı dizinde ise virüs de silinebilir.

root@vps-# ls -lt /usr/bin | head

8) Şimdi kötü niyetli programı öldürün, üretmeyecek.

root@vps-# pkill mtyxkeaofa

9) Virüs gövdesini çıkarın.

root@vps-# rm -f /lib/libudev.so

Bu trojan aynı zamanda Çin Tavuk Çok Platformlu DoS botnetleri Trojan, Unix - Trojan.DDoS_XOR-1, Gömülü rootkit,

Not: .sh dosyasını bulamıyorsanız, lütfen ClamAV, RKHunter'ı yükleyebilir ve şüpheli / kötü amaçlı yazılımları bulmak için günlükleri / raporları kontrol edebilirsiniz.

gerçek siteye bağlantı

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/