Encontré malware en mi instancia ec2 que continuamente extraía bitcoin y usaba mi poder de procesamiento de instancia. Identifiqué con éxito el proceso, pero no pude eliminarlo y eliminarlo.
Ejecuté este comando
watch "ps aux | sort -nrk 3,3 | head -n 5"
Muestra los cinco principales procesos que se ejecutan en mi instancia, de los cuales descubrí que hay un nombre de proceso ' bashd ' que consumía el 30% de la CPU. El proceso es
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
Maté este proceso usando el kill -9 process_id
comando. Después de 5 segundos, el proceso comenzó de nuevo.
Respuestas:
Si no colocó el software allí y / o si cree que su instancia de la nube está comprometida: desconéctela, elimínela y vuelva a generarla desde cero (pero primero lea el siguiente enlace). Ya no te pertenece, ya no puedes confiar en él .
Consulte "Cómo lidiar con un servidor comprometido" en ServerFault para obtener más información sobre qué hacer y cómo comportarse cuando una máquina se ve comprometida.
Además de las cosas que hacer y pensar en la (s) lista (s) vinculada (s) a lo anterior, tenga en cuenta que dependiendo de quién sea y dónde se encuentre, puede tener la obligación legal de informarlo a una seguridad de TI local / central equipo / persona dentro de su organización y / o ante las autoridades (posiblemente incluso dentro de un cierto período de tiempo).
En Suecia (desde diciembre de 2015), por ejemplo, cualquier agencia estatal (por ejemplo, universidades) está obligada a informar incidentes relacionados con TI dentro de las 24 horas. Su organización tendrá procedimientos documentados sobre cómo hacer esto.
fuente
Este comando
bashd
es el mismo queccminer
desde elccminer-cryptonight
programa para extraer Monero en su sistema (hay tuto: Monero - Ccminer-cryptonight GPU miner en Linux ),bashd
se obtiene aliasing o modificando el código fuente del programa.Cryptonight Malware: ¿cómo matar el proceso? (información encontrada en la página web de expertos en malware)
Proceso de eliminación manual
Luego, solo
kill -9 process_id
con permisos de root. (Debe matar el proceso decryptonight
nobashd
)Para estar seguro debes:
fuente