Tengo un proceso desconocido cuando ejecuto top
:
- Cuando elimino el proceso, vuelve con otro nombre aleatorio.
- cuando reviso los niveles rc.d e init.d hay muchos nombres aleatorios similares a este y este también está allí.
- cuando trato de quitar apt o anthing elses vuelve a aparecer.
- cuando conecto el cable de red está bloqueando toda nuestra red.
¿Tienes alguna idea de cómo puedo eliminarlo?
¿Qué es este servicio / proceso?
Este es el archivo exe, cuando lo elimino, también vuelve a aparecer.
/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa
Cuando verifico "netstat -natp" hay una dirección extranjera de establecimiento 98.126.251.114:2828. Cuando intento agregar reglas a iptables, no funciona. Pero después de intentar y luego reiniciar este cambio de dirección a 66.102.253.30:2828 este.
El sistema operativo es Debian Wheeze
cruft
pueden ser útiles para ver qué archivos no pertenecen a los paquetes.ps l
le mostrará cuál es el proceso principal. Lo más probable es que te diga qué está generando este proceso. Mire la columna PPID para obtener la información que desea. No sería tan rápido para declarar este malware./use/bin/hgmjzjkpxa
existe (¿podría estar en / usr?) ¿Es también un enlace, o algo más interesante enumeradols -la
o visto conless
ostrings
?Respuestas:
Tengo algunas experiencias sobre este troyano de cadena aleatorio de 10 bits, enviará muchos paquetes para la inundación SYN.
El troyano tiene un archivo sin procesar procedente
/lib/libudev.so
, se copiará y bifurcará nuevamente. También agregará uncron.hourly
trabajo llamadogcc.sh
, luego agregará un script inicial en su/etc/rc*.d
(Debian, CentOS puede ser/etc/rc.d/{init,rc{1,2,3,4,5}}.d
)Use
root
para ejecutar el siguiente script para cambiar los privilegios de la carpeta:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
Eliminar todos los
/etc/rc{0,1,2,3,4,5,6,S}.d
archivos que se crearon hoy. El nombre se ve asíS01????????
.Edite su crontab, elimine el
gcc.sh
script en su/etc/cron.hourly
, elimine elgcc.sh
archivo (/etc/cron.hourly/gcc.sh
) y luego agregue privilegios para su crontab:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
Use este comando para verificar los últimos cambios de archivo:
ls -lrt
Si encuentra algún archivo sospechoso llamado
S01xxxxxxxx
(oK8xxxxxxxx
), elimínelo.Luego se debe limpiar el troyano y puede modificar los privilegios de la carpeta a los valores originales (
chattr -i /lib /etc/crontab
).fuente
sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
. Además, según el enlace en la respuesta de @Colin Rosenthal, la infección es a través de la contraseña ssh de root forzada por fuerza bruta. Entonces, para evitar la reinfección, cambie o deshabilite la contraseña de root antes de reiniciar la red.chattr -i /lib
devuelvechattr: Operation not supported while reading flags on /lib
alguna pista? Mi / lib apunta a usr / libEsto se conoce como la XORDDos Linux Troya El truco es correr
kill
con-STOP
el proceso que se detuvo por lo que no crea una nueva.fuente
Te apuesto un dólar es https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ . Todos sus síntomas son exactamente como se describen.
fuente
Para mí había dos opciones:
Para el troyano que está jugando con archivos en / usr / bin, solo hice esto: echo> /lib/libudev.so Matar el troyano PID
Para el que está jugando con / bin (aquí siempre había 5-10 procesos ejecutándose por una fracción chattr + i / bin y siga los pasos mencionados por rainysia
fuente
También enfrentamos el mismo problema, nuestros servidores también están pirateados y descubrí que forzaron el inicio de sesión ssh y obtuvieron éxito e inyectaron troyanos en nuestro sistema.
Los siguientes son los detalles:
menos / var / log / seguro | grep 'Contraseña fallida' | grep '222.186.15.26' | wc -l 37772 comenzó
y obtuve acceso el tiempo siguiente: Contraseña aceptada para root del puerto 222.186.15.26 65418 ssh2
Y según IP Location Finder, esta ip pertenece a algún lugar de China.
Pasos correctivos: siga los pasos dados por: @rainysia
Pasos preventivos :
fuente
Tengo este virus de pollo, cuando expuse los puertos predeterminados para conectarme al acceso remoto desde la máquina de mi casa. en mi caso este sitio me ayudó
Pasos
1) Lista los archivos en cron por hora. Si puede ver algún archivo .sh, ábralo.
2) Si el archivo .sh muestra datos similares a los que se muestran a continuación, ¡es un programa de Virus!
3) ¡Ahora, por favor no tengas prisa! Mantente tranquilo y fácil: D
No elimine gcc.sh o no elimine el crontab. Si lo elimina o lo elimina, se generará otro proceso de inmediato. Puede eliminar el script culpable o deshabilitarlo. [Prefiero deshabilitarlo para mostrar la prueba al cliente]
O
4) Use el comando top para ver virus o archivos maliciosos (por ejemplo: "mtyxkeaofa") PID es 16621, no elimine directamente el programa, de lo contrario producirá nuevamente, pero para detener su operación use el siguiente comando.
Eliminar archivos dentro de /etc/init.d. o deshabilitarlo [Prefiero deshabilitarlo para mostrar la prueba al cliente]
O
6) Eliminar / usr / bin dentro de los archivos.
7) Compruebe / usr / bin archiva los cambios recientes, el virus también se puede eliminar si el otro sospechoso es el mismo directorio.
8) Ahora elimine el programa malicioso, no producirá.
9) Eliminar el cuerpo del virus.
Este troyano también se conoce como botnets Chinese Chicken Multiplatform DoS Trojan, Unix - Trojan.DDoS_XOR-1, rootkit incorporado,
enlace al sitio real
https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/
fuente