У мене невідомий процес при запуску top:

• Коли я вбиваю процес, він знову повертається з іншим випадковим іменем.
• коли я перевіряю рівні rc.d та init.d, існує багато випадкових назв, подібних до цього, і це також є.
• коли я намагаюся apt-get remove або antsent elses, вона знову приходить.
• коли я підключаю мережевий кабель, він блокує всю нашу мережу.

Чи маєте ви якесь уявлення, як я можу його зняти?

Що це за послуга / процес?

Це файл EXE, коли я його видаляю, він також надходить знову.

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Коли я перевіряю "netstat -natp", там іноземна адреса установи 98.126.251.114:2828. Коли я намагаюся додати правила до iptables, це не працює. Але спробувавши, а потім перезавантажте цю адресу, змініть на 66.102.253.30:2828 цю.

ОС - це Debian Wheeze

У мене є досвід щодо цього випадкового 10-бітового рядкового трояна, він надсилатиме багато пакетів для потоку SYN.

1. Виріжте свою мережу

Троян має вихідний файл /lib/libudev.so, він знову буде копіювати та висувати. Він також додасть cron.hourlyзавдання з назвою gcc.sh, тоді він додасть початковий сценарій у вашому /etc/rc*.d(Debian, CentOS може бути /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

2. Використовуйте rootдля запуску сценарію нижче, щоб змінити привілеї папки:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

3. Видаліть усі /etc/rc{0,1,2,3,4,5,6,S}.dфайли, які були створені сьогодні, як виглядає назва S01????????.

4. Відредагуйте свій crontab, видаліть gcc.shскрипт у своєму /etc/cron.hourly, видаліть gcc.shфайл ( /etc/cron.hourly/gcc.sh), а потім додайте привілеї для свого crontab:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

5. Використовуйте цю команду для перевірки останніх змін файлів: ls -lrt

Якщо ви знайдете підозрілі файли з назвою S01xxxxxxxx(або K8xxxxxxxx), видаліть їх.

6. Тоді вам слід перезавантажити без мережі.

Потім троян слід очистити, і ви можете змінити привілеї папки до початкових значень ( chattr -i /lib /etc/crontab).

Це відомо як XORDDos Linux Trojan Хитрість полягає в тому, щоб працювати killз -STOPдля процесу , щоб бути припинена , так що не створює новий.

`kill -STOP PROCESS_ID`

Я обміню вам долар, це https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ . Всі ваші симптоми точно такі, як описано.

Для мене було два варіанти:

1. Для трояна, який возиться з файлами в / usr / bin, я це робив лише так: echo> /lib/libudev.so Убити троянський PID

2. Для того, хто возиться з / bin (тут завжди було 5-10 процесів, що працюють для фракції chattr + i / bin і виконайте кроки, згадані Rainysia

Ми також стикаємося з тією ж проблемою, наші сервери також зламані, і я виявив, що вони жорстоко змусили ввійти в ssh і отримали успіхи та ввели троян у нашу систему.

Нижче наведено деталі:

менше / var / log / secure | grep 'Помилка пароля' | греп '222.186.15.26' | wc -l 37772 розпочато

і отримав доступ нижче часу: Прийнятий пароль для root з порту 222.186.15.26 65418 ssh2

І відповідно до IP Finder Location, цей ip належить десь у Китаї.

Виправні кроки: будь ласка, виконайте кроки, подані за адресою: @rainysia

Профілактичні кроки :

1. На мою думку, деякий менеджмент сповіщень повинен бути там, коли хтось намагався сша або отримати доступ до вашого сервера і виходив з ладу багато разів.
2. Контролери мережевої швидкості повинні бути там, якщо ви використовуєте будь-яку хмарну платформу, наприклад aws, gcp, azure тощо ...

Я отримав цей курячий вірус, коли я виявив порти за замовчуванням для того, щоб підключитися до віддаленого доступу з домашньої машини. в моєму випадку цей сайт мені допоміг

Кроки

1) Перерахуйте файли під годинним кроном. Якщо ви можете побачити будь-який .sh файл, відкрийте його.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) Якщо у файлі .sh відображаються подібні дані, як показано нижче, то це програма Virus !!

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) Тепер, будь ласка, не поспішайте! Будьте спокійні та легкі: D

Не видаляйте gcc.sh або не видаляйте crontab. Якщо ви видалите або видалите його, то інший процес генерується негайно. Ви можете або вилучити скрипт винуватця, або відключити його. [Я вважаю за краще відключити його, щоб показати доказ клієнтові]

root@vps-# rm -f /etc/cron.hourly/gcc.sh; 

АБО

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) Використовуйте верхню команду для перегляду вірусного або шкідливого файлу (наприклад: "mtyxkeaofa") PID - це 16621, не вбивайте програму безпосередньо, інакше вона знову буде виробляти, але для припинення її роботи скористайтеся наведеною нижче командою.

root@vps- # kill -STOP 16621

Видаліть файли в /etc/init.d. або відключити [я вважаю за краще відключити його, щоб показати доказ клієнтові]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

АБО

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa; 

6) Видалити / usr / bin всередині архівів.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) Перевірте / usr / bin архіви останніх змін, вірус також можна видалити, якщо інший підозрюваний - той самий каталог.

root@vps-# ls -lt /usr/bin | head

8) Тепер вбийте шкідливу програму, вона не видасть.

root@vps-# pkill mtyxkeaofa

9) Видаліть тіло вірусу.

root@vps-# rm -f /lib/libudev.so

Цей троян також відомий як китайський курячий мультиплатформенний ботнет DoS Trojan, Unix - Trojan.DDoS_XOR-1, вбудований rootkit,

Примітка. Якщо ви не можете знайти .sh файл, ви можете встановити ClamAV, RKHunter і перевірити журнали / звіти, щоб знайти підозрілі / шкідливі

посилання на фактичний сайт

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/