Proceso linux desconocido con comando aleatorio

12

Tengo un proceso desconocido cuando ejecuto top:

ingrese la descripción de la imagen aquí

  • Cuando elimino el proceso, vuelve con otro nombre aleatorio.
  • cuando reviso los niveles rc.d e init.d hay muchos nombres aleatorios similares a este y este también está allí.
  • cuando trato de quitar apt o anthing elses vuelve a aparecer.
  • cuando conecto el cable de red está bloqueando toda nuestra red.

¿Tienes alguna idea de cómo puedo eliminarlo?

¿Qué es este servicio / proceso?

Este es el archivo exe, cuando lo elimino, también vuelve a aparecer.

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Cuando verifico "netstat -natp" hay una dirección extranjera de establecimiento 98.126.251.114:2828. Cuando intento agregar reglas a iptables, no funciona. Pero después de intentar y luego reiniciar este cambio de dirección a 66.102.253.30:2828 este.

El sistema operativo es Debian Wheeze

usuario1424059
fuente
55
Probablemente algún cliente de botnet (su máquina está comprometida). Tienes que averiguar cómo se inicia. Las utilidades como cruftpueden ser útiles para ver qué archivos no pertenecen a los paquetes.
Dan
2
ps lle mostrará cuál es el proceso principal. Lo más probable es que te diga qué está generando este proceso. Mire la columna PPID para obtener la información que desea. No sería tan rápido para declarar este malware.
krowe
+1 para verificar el proceso padre. Y si el archivo /use/bin/hgmjzjkpxaexiste (¿podría estar en / usr?) ¿Es también un enlace, o algo más interesante enumerado ls -lao visto con lesso strings?
Xen2050
no hay ningún proceso padre, parece un proceso whoami, hay una cosa cuando verifico "netstat -natp" hay una dirección extranjera de establecimiento 98.126.251.114:2828. cuando trato de agregar reglas a iptables, no funciona. Pero después de intentar y luego reiniciar este cambio de dirección a 66.102.253.30:2828 este. ¿Tienes alguna idea sobre esto?
user1424059

Respuestas:

15

Tengo algunas experiencias sobre este troyano de cadena aleatorio de 10 bits, enviará muchos paquetes para la inundación SYN.

  1. Corta tu red

El troyano tiene un archivo sin procesar procedente /lib/libudev.so, se copiará y bifurcará nuevamente. También agregará un cron.hourlytrabajo llamado gcc.sh, luego agregará un script inicial en su /etc/rc*.d(Debian, CentOS puede ser /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. Use rootpara ejecutar el siguiente script para cambiar los privilegios de la carpeta:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Eliminar todos los /etc/rc{0,1,2,3,4,5,6,S}.darchivos que se crearon hoy. El nombre se ve así S01????????.

  3. Edite su crontab, elimine el gcc.shscript en su /etc/cron.hourly, elimine el gcc.sharchivo ( /etc/cron.hourly/gcc.sh) y luego agregue privilegios para su crontab:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Use este comando para verificar los últimos cambios de archivo: ls -lrt

Si encuentra algún archivo sospechoso llamado S01xxxxxxxx(o K8xxxxxxxx), elimínelo.

  1. Entonces deberías reiniciar sin red.

Luego se debe limpiar el troyano y puede modificar los privilegios de la carpeta a los valores originales ( chattr -i /lib /etc/crontab).

rainysia
fuente
Las instrucciones en esta respuesta me salvaron. A pesar de su edad, este troyano todavía parece estar en libertad. Sin embargo, en el paso 4 hay un error, ya que el comando sed no cambia realmente el archivo. Simplemente se modifica, sin embargo: sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab. Además, según el enlace en la respuesta de @Colin Rosenthal, la infección es a través de la contraseña ssh de root forzada por fuerza bruta. Entonces, para evitar la reinfección, cambie o deshabilite la contraseña de root antes de reiniciar la red.
frederik
chattr -i /libdevuelve chattr: Operation not supported while reading flags on /libalguna pista? Mi / lib apunta a usr / lib
burro
Tampoco puedo restaurar la red incluso después de hacer sudo apt install --reinstall libudev1
donkey
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / mientras se ejecuta se le denegó el permiso, incluso se ejecutó con su y sudo
Yashwanth Kambala
15

Esto se conoce como la XORDDos Linux Troya El truco es correr killcon -STOPel proceso que se detuvo por lo que no crea una nueva.

`kill -STOP PROCESS_ID`
Algeriassic
fuente
Excelente. Esto es exactamente lo que estaba buscando. Sin reiniciar realmente no puede deshacerse de este virus si siempre está en la memoria. Incluso no necesita cambiar ninguna carpeta después de detenerla, simplemente elimine los archivos y enlaces y eso es todo.
Oleg Bolden
0

Para mí había dos opciones:

  1. Para el troyano que está jugando con archivos en / usr / bin, solo hice esto: echo> /lib/libudev.so Matar el troyano PID

  2. Para el que está jugando con / bin (aquí siempre había 5-10 procesos ejecutándose por una fracción chattr + i / bin y siga los pasos mencionados por rainysia

Zatarra
fuente
0

También enfrentamos el mismo problema, nuestros servidores también están pirateados y descubrí que forzaron el inicio de sesión ssh y obtuvieron éxito e inyectaron troyanos en nuestro sistema.

Los siguientes son los detalles:

menos / var / log / seguro | grep 'Contraseña fallida' | grep '222.186.15.26' | wc -l 37772 comenzó

y obtuve acceso el tiempo siguiente: Contraseña aceptada para root del puerto 222.186.15.26 65418 ssh2

Y según IP Location Finder, esta ip pertenece a algún lugar de China.

Pasos correctivos: siga los pasos dados por: @rainysia

Pasos preventivos :

  1. Según mí, alguna notificación de administración debería estar allí cuando alguien intentaba ssh o acceder a su servidor y fallaba muchas veces.
  2. Los controladores de velocidad de red deberían estar allí si está utilizando una plataforma en la nube como aws, gcp, azure, etc.
Sahil Aggarwal
fuente
1
pero primero, no permita el acceso de root a través de ssh, no permita ningún acceso de ssh con contraseña, permita solo el acceso a través de ssh con claves
pietrovismara
0

Tengo este virus de pollo, cuando expuse los puertos predeterminados para conectarme al acceso remoto desde la máquina de mi casa. en mi caso este sitio me ayudó

Pasos

1) Lista los archivos en cron por hora. Si puede ver algún archivo .sh, ábralo.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) Si el archivo .sh muestra datos similares a los que se muestran a continuación, ¡es un programa de Virus!

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) ¡Ahora, por favor no tengas prisa! Mantente tranquilo y fácil: D

No elimine gcc.sh o no elimine el crontab. Si lo elimina o lo elimina, se generará otro proceso de inmediato. Puede eliminar el script culpable o deshabilitarlo. [Prefiero deshabilitarlo para mostrar la prueba al cliente]

root@vps-# rm -f /etc/cron.hourly/gcc.sh; 

O

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) Use el comando top para ver virus o archivos maliciosos (por ejemplo: "mtyxkeaofa") PID es 16621, no elimine directamente el programa, de lo contrario producirá nuevamente, pero para detener su operación use el siguiente comando.


root@vps- # kill -STOP 16621

Eliminar archivos dentro de /etc/init.d. o deshabilitarlo [Prefiero deshabilitarlo para mostrar la prueba al cliente]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

O

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa; 

6) Eliminar / usr / bin dentro de los archivos.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) Compruebe / usr / bin archiva los cambios recientes, el virus también se puede eliminar si el otro sospechoso es el mismo directorio.

root@vps-# ls -lt /usr/bin | head

8) Ahora elimine el programa malicioso, no producirá.

root@vps-# pkill mtyxkeaofa

9) Eliminar el cuerpo del virus.

root@vps-# rm -f /lib/libudev.so

Este troyano también se conoce como botnets Chinese Chicken Multiplatform DoS Trojan, Unix - Trojan.DDoS_XOR-1, rootkit incorporado,

Nota: Si no puede encontrar el archivo .sh, puede instalar ClamAV, RKHunter y verificar los registros / informes para encontrar el sospechoso / malicioso

enlace al sitio real

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

Yashwanth Kambala
fuente
2
Si bien este enlace puede responder la pregunta, es mejor incluir aquí las partes esenciales de la respuesta y proporcionar el enlace como referencia. Las respuestas de solo enlace pueden volverse inválidas si la página vinculada cambia. - De la opinión
CaldeiraG
actualizará eso aquí
Yashwanth Kambala