¿Cómo puedo eliminar el malware minerd en una instancia de AWS EC2? (servidor comprometido)

26

Encontré malware en mi instancia ec2 que continuamente extraía bitcoin y usaba mi poder de procesamiento de instancia. Identifiqué con éxito el proceso, pero no pude eliminarlo y eliminarlo.

Ejecuté este comando watch "ps aux | sort -nrk 3,3 | head -n 5" Muestra los cinco principales procesos que se ejecutan en mi instancia, de los cuales descubrí que hay un nombre de proceso ' bashd ' que consumía el 30% de la CPU. El proceso es

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Maté este proceso usando el kill -9 process_idcomando. Después de 5 segundos, el proceso comenzó de nuevo.

Nadeem Ahmed
fuente
44
No das suficientes detalles (al menos varios comandos que has probado)
Basile Starynkevitch
28
"Los servidores son ganado, no mascotas". Especialmente servidores virtuales que son realmente fáciles de crear y destruir. Deseche este (termínelo) y cree otro. O cree otro, cambie y mantenga el antiguo mientras descubre cómo llegó el malware allí.
user253751
14
la instancia se ve comprometida, nuke desde la órbita
njzk2
44
(nota para cualquier otra persona que lee esto - "servidores son ganado, mascotas no son" sólo se aplica a los servidores de la nube o para un gran número de servidores idénticos)
user253751
1
esto es minar Monero, no bitcoin (si es importante)
Dmitry Kudriavtsev

Respuestas:

83

Si no colocó el software allí y / o si cree que su instancia de la nube está comprometida: desconéctela, elimínela y vuelva a generarla desde cero (pero primero lea el siguiente enlace). Ya no te pertenece, ya no puedes confiar en él .

Consulte "Cómo lidiar con un servidor comprometido" en ServerFault para obtener más información sobre qué hacer y cómo comportarse cuando una máquina se ve comprometida.

Además de las cosas que hacer y pensar en la (s) lista (s) vinculada (s) a lo anterior, tenga en cuenta que dependiendo de quién sea y dónde se encuentre, puede tener la obligación legal de informarlo a una seguridad de TI local / central equipo / persona dentro de su organización y / o ante las autoridades (posiblemente incluso dentro de un cierto período de tiempo).

En Suecia (desde diciembre de 2015), por ejemplo, cualquier agencia estatal (por ejemplo, universidades) está obligada a informar incidentes relacionados con TI dentro de las 24 horas. Su organización tendrá procedimientos documentados sobre cómo hacer esto.

Kusalananda
fuente
29
Amén. Creo que no se puede decir mejor o transmitir adecuadamente "ya no te pertenece"
Rui F Ribeiro
20
Y necesitas saber cómo llegó allí en primer lugar.
kagronick
12

Este comando bashdes el mismo que ccminerdesde el ccminer-cryptonightprograma para extraer Monero en su sistema (hay tuto: Monero - Ccminer-cryptonight GPU miner en Linux ), bashdse obtiene aliasing o modificando el código fuente del programa.

Cryptonight Malware: ¿cómo matar el proceso? (información encontrada en la página web de expertos en malware)

Esto nuevamente es un nuevo malware que llamamos cryptonight, lo que no hemos visto antes. Descarga el programa ejecutable de Linux y oculta el demonio http en segundo plano, lo cual es difícil de encontrar la lista de procesos a primera vista.

Proceso de eliminación manual

Puede buscar si se está ejecutando el proceso httpd, que inicia el parámetro cryptonight:

ps aux | grep cryptonight

Luego, solo kill -9 process_idcon permisos de root. (Debe matar el proceso de cryptonightno bashd)

Para estar seguro debes:

  1. Reinstale su sistema
  2. Parchee su sistema para evitar la vulnerabilidad de ataque remoto: Servidores Linux secuestrados para minar criptomonedas a través de la vulnerabilidad SambaCry
  3. Restrinja a los usuarios para ejecutar comandos limitados
GAD3R
fuente