Як я можу вбити зловмисне програмне забезпечення minerd в екземплярі AWS EC2? (компрометований сервер)

У моєму екземплярі ec2 я знайшов зловмисне програмне забезпечення, яке постійно видобувало біткойн і використовувало потужність обробки мого екземпляра. Я успішно визначив процес, але не зміг його вилучити та вбити.

Я запустив цю команду. watch "ps aux | sort -nrk 3,3 | head -n 5" Він показує п’ять перших процесів, запущених у моєму екземплярі, з яких я виявив, що є ім'я процесу ' bashd ', на яке витрачається 30% процесора. Процес є

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Я вбив цей процес за допомогою kill -9 process_idкоманди. Через 5 секунд процес почався знову.

— Надія Ахмед
джерело

Ви не даєте достатньо деталей (принаймні декілька команд, які ви пробували)

— Basile Starynkevitch

"Сервери - худоба, а не домашні тварини". Особливо віртуальні сервери, які справді легко створити та знищити. Викиньте цю (припиніть) та створіть іншу. Або створіть інший, переключіться та збережіть старий, поки ви не з'ясуєте, як зловмисне програмне забезпечення там потрапило.

— користувач253751

ваш екземпляр

— порушений, запустити

(Примітка для тих , хто ще читає це - «сервери великої рогатої худоби, а не домашня тварин» відноситься тільки до хмарним серверів або великої кількості ідентичних серверів)

— user253751

це видобуток Monero, а не біткойн (якщо це має значення)

— Дмитро Кудрявцев

Відповіді:

Якщо ви не помістили програмне забезпечення туди та / або вважаєте, що ваш хмарний екземпляр порушений: зніміть його офлайн, видаліть його та відновіть з нуля (але прочитайте посилання нижче). Це вам більше не належить, ви вже не можете довіряти цьому .

Див. Розділ "Як боротися з компрометованим сервером" на ServerFault для отримання додаткової інформації про те, що робити та як вести себе під час компрометації машини.

На додаток до справ, про які варто задуматися у списку, пов’язаному з вище, пам’ятайте, що залежно від того, хто ви є і де ви знаходитесь, ви можете мати юридичне зобов’язання повідомляти про це або місцевому / центральному ІТ-безпеку. команда / особа у вашій організації та / або владі (можливо, навіть у певні часові рамки).

Наприклад, у Швеції (з грудня 2015 року), наприклад, будь-яке державне агентство (наприклад, університети) зобов'язане повідомляти про інциденти, пов'язані з ІТ, протягом 24 годин. Ваша організація матиме документально підтверджені процедури, як це робити.

— Кусалаланда
джерело

Амінь. Я думаю, що це не можна сказати краще або належним чином передано "це вже не належить тобі"

— Rui F Ribeiro

І вам потрібно знайти, як воно потрапило в першу чергу.

— kagronick

Ця команда bashdтака ж, як ccminerвід ccminer-cryptonightпрограми до шахти Monero у вашій системі (є tuto: Monero - Ccminer-cryptonight GPU miner в Linux ), bashdотримана шляхом псевдонімування або зміною вихідного коду програми.

Cryptonight Malware: як вбити процес? (інформація знайдена на веб-сторінці експерта із зловмисних програм)

Це знову нове зловмисне програмне забезпечення, яке ми називаємо cryptonight, того, чого ми раніше не бачили. Він завантажує виконувану програму Linux і приховує цей http-демон у фоновому режимі, що складно знайти список процесів на перший погляд.

Процес видалення вручну

Ви можете шукати, чи є там запущений процес httpd, який запускає параметр cryptonight:

ps aux | grep cryptonight

Тоді просто kill -9 process_idз дозволами root (ви повинні вбити процес cryptonightне the bashd)

Для безпеки ви повинні:

Перевстановіть систему
Виправити виправлення вашої системи для запобігання віддаленій вразливості атаки: сервери Linux викрадені на шахті криптовалюти через вразливість SambaCry
Обмежуйте користувачів виконувати обмежені команди

— GAD3R
джерело