AWS EC2 örneğinde madenci kötü amaçlı yazılımı nasıl öldürebilirim? (bozulmuş sunucu)

26

Sürekli bitcoin madenciliği yapan ve örnek işlem gücümü kullanan ec2 örneğimde kötü amaçlı yazılım buldum. İşlemi başarıyla belirledim ancak kaldıramadı ve öldüremedi.

Bu komutu koştum Bu watch "ps aux | sort -nrk 3,3 | head -n 5" benim örneğimde çalışan ilk beş işlemi gösteriyor, ki burada işlemcinin % 30'unu tüketen bir ' bashd ' adı var . Süreç

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Bu işlemi kill -9 process_idkomutu kullanarak öldürdüm . 5 saniye sonra, işlem tekrar başladı.

linux  process  kill  malware 
Nadeem Ahmed
kaynak
4
Yeterli ayrıntı vermedin (en azından birkaç
kere
28
"Sunucular sığır, evcil hayvan değil." Özellikle yaratması ve imha etmesi kolay olan sanal sunucular . Bunu atıp (sonlandır) ve bir tane daha yarat. Ya da başka bir tane oluşturun, yazılımı değiştirin ve kötü amaçlı yazılımın oraya nasıl ulaştığını öğrenirken eskisini çevrenizde tutun.
user253751
14
örneğiniz tehlikeye
giriyor
4
(bunu okuyan başkaları için not - "sunucular büyükbaş
hayvandır
1
bu madencilik Monero, bitcoin değil (eğer
önemliyse

Yanıtlar:

83

Yazılımı oraya koymadıysanız ve / veya bulut durumunuzun tehlikeye girdiğini düşünüyorsanız: Çevrimiçi duruma getirin, silin ve sıfırdan yeniden oluşturun (ancak önce aşağıdaki bağlantıyı okuyun). Artık sana ait değil, artık ona güvenemezsin .

Bkz. "Uzatılmış bir sunucuyla nasıl baş edilir?" yapmak ve nasıl tehlikeye bir makine alırken davranmaya ne hakkında daha fazla bilgi için ServerFault üzerinde.

Yukarıda belirtilen listede (ler) yapılacak ve düşünülecek şeylerin yanı sıra, kim olduğunuza ve nerede olduğunuza bağlı olarak, bunu bildirmek için yasal bir zorunluluğunuz olabileceğini unutmayın . yerel ya da merkezi bir BT güvenliğine için Kuruluşunuzdaki ve / veya yetkililerdeki ekip / kişi (belirli bir zaman aralığında bile olabilir).

İsveç'te (Aralık 2015'ten bu yana), örneğin, herhangi bir devlet kurumu (örneğin üniversiteler) BT ile ilgili olayları 24 saat içinde bildirmek zorundadır. Kuruluşunuz bunun nasıl yapılacağına dair prosedürleri belgeleyecek.

Kusalananda
kaynak
29
Amin. Bence daha iyi veya doğru şekilde iletilemez "artık sana ait değil"
Rui F Ribeiro
20
Ve ilk etapta oraya nasıl ulaştığını bulman gerek.
kagronick
12

Bu komut bashdile aynıdır ccminerdan ccminer-cryptonightsisteminizde mayın Monero için programm (tuto vardır: Monero - Linux üzerinde Ccminer-cryptonight GPU madenci ),bashd aliasing yoluyla ya da programın kaynak kodunu değiştirerek elde edilir.

Cryptonight Malware: Süreci nasıl öldürürsünüz? (kötü amaçlı yazılım uzmanı web sayfasında bulunan bilgiler)

Kripton gecesi olarak adlandırdığımız ve daha önce görmediğimiz bu yeni kötü amaçlı yazılım. Yürütülebilir Linux programını indirir ve ilk bakışta işlem listesini bulmak zor olan arka planda bulunan http arka planını gizler.

Manuel kaldırma işlemi

Cryptonight parametresini başlatan çalışan bir httpd işlemi olup olmadığını arayabilirsiniz.

ps aux | grep cryptonight

O zaman sadece kill -9 process_idkök izinlerle. ( cryptonightDeğilbashd )

Güvende olmak için:

  1. Sisteminizi yeniden yükleyin
  2. Uzaktan saldırıya açık güvenlik açığını önlemek için sisteminizi düzeltin: SambaCry Güvenlik Açığı yoluyla Mine Cryptocurrency'te çalışan Linux Sunucuları
  3. Kullanıcıları sınırlı komutlar çalıştırma konusunda kısıtla
GAD3R
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.