Processo linux desconhecido com comando aleatório

12

Eu tenho um processo desconhecido quando executo top:

insira a descrição da imagem aqui

  • Quando eu mato o processo, ele volta com outro nome aleatório.
  • quando eu verifico os níveis do rc.d e o init.d, existem muitos nomes aleatórios semelhantes a este e este também está lá.
  • quando tento apt-get remove ou qualquer outra coisa, está voltando.
  • quando conecto o cabo de rede, ele está bloqueando toda a nossa rede.

Você tem alguma idéia de como removê-lo?

O que é este serviço / processo?

Este é o arquivo exe, quando eu o apago, ele está voltando também.

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Quando eu checo "netstat -natp", o endereço estrangeiro do estabelecimento é 98.126.251.114:2828. Quando tento adicionar regras ao iptables, ele não está funcionando. Mas depois de tentar e, em seguida, reiniciar esse endereço, mude para 66.102.253.30:2828.

OS é Debian Wheeze

user1424059
fonte
5
Provavelmente algum cliente de botnet (sua máquina está comprometida). Você tem que descobrir como é iniciado. Utilitários como esses cruftpodem ser úteis para ver quais arquivos não pertencem aos pacotes.
Dan
2
ps lmostrará qual é o processo pai. Provavelmente, isso lhe dirá o que está gerando esse processo. Veja na coluna PPID as informações que você deseja. Eu não seria tão rápido em declarar esse malware.
krowe
+1 para verificar o processo pai. E se o arquivo /use/bin/hgmjzjkpxaexiste (poderia estar em / usr?), Também é um link, ou algo mais interessante listado ls -laou visualizado com lessou strings?
Xen2050
não há nenhum processo pai, parece um processo whoami, há uma coisa quando eu checo "netstat -natp", há um endereço estrangeiro do estabelecimento como 98.126.251.114:2828. Quando tento adicionar regras ao iptables, ele não está funcionando. Mas depois de tentar e, em seguida, reiniciar esse endereço, mude para 66.102.253.30:2828. voce tem alguma ideia sobre isso?
user1424059

Respostas:

15

Eu tenho algumas experiências sobre este trojan aleatório de 10 bits, que enviará muitos pacotes para o SYN flood.

  1. Reduza sua rede

O cavalo de Tróia tem um arquivo bruto vindo /lib/libudev.so, ele será copiado e bifurcado novamente. Ele também adicionará um cron.hourlytrabalho nomeado e gcc.sh, em seguida, um script inicial no /etc/rc*.d(Debian, o CentOS pode ser /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. Use rootpara executar o script abaixo para alterar os privilégios da pasta:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Exclua todos os /etc/rc{0,1,2,3,4,5,6,S}.darquivos que foram criados hoje, o nome se parece S01????????.

  3. Edite seu crontab, exclua o gcc.shscript no seu /etc/cron.hourly, exclua o gcc.sharquivo ( /etc/cron.hourly/gcc.sh) e adicione privilégios para o seu crontab:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Use este comando para verificar as alterações mais recentes do arquivo: ls -lrt

Se você encontrar algum arquivo suspeito chamado S01xxxxxxxx(ou K8xxxxxxxx), exclua-o.

  1. Então você deve reiniciar sem rede.

Em seguida, o trojan deve ser limpo e você pode modificar os privilégios da pasta para os valores originais ( chattr -i /lib /etc/crontab).

rainysia
fonte
As instruções nesta resposta me salvaram. Apesar de sua idade, esse trojan ainda parece estar em estado selvagem. No entanto, na etapa 4, há um erro, pois o comando sed realmente não altera o arquivo. É simplesmente modificado, no entanto: sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab. Além disso, de acordo com o link na resposta de @Colin Rosenthal, a infecção é feita através de uma senha ssh forçada bruta do root. Portanto, para evitar reinfecção, altere ou desative a senha root antes de reiniciar a rede.
Frederik
chattr -i /libretorna chattr: Operation not supported while reading flags on /libalguma pista? Meu / lib aponta para usr / lib
donkey
Eu também não sou capaz de restaurar a rede, mesmo depois de fazer sudo apt instalar --reinstall libudev1
burro
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / durante a execução tem permissão negada, mesmo executada com su e sudo
Yashwanth Kambala
15

Isso é conhecido como Trojan do XORDDos Linux. O truque é executar killcom -STOPque o processo seja pausado para não criar um novo.

`kill -STOP PROCESS_ID`
Algeriassic
fonte
Ótimo. Era exatamente isso que eu estava procurando. Sem a reinicialização, você realmente não pode se livrar desse vírus se ele estiver sempre na memória. Você nem precisa chmod nenhuma pasta depois de pará-la - basta remover os arquivos e links e é tudo.
precisa
0

Para mim, havia duas opções:

  1. Para o cavalo de Troia que está mexendo com os arquivos em / usr / bin, fiz isso apenas: echo> /lib/libudev.so Mate o PID do cavalo de Troia

  2. Para quem mexe com / bin (aqui sempre havia 5 a 10 processos em execução para uma fração chattr + i / bin e siga as etapas mencionadas por rainysia

Zatarra
fonte
0

Também enfrentamos o mesmo problema: nossos servidores também são hackeados e descobri que eles forçaram o login ssh e obtiveram sucesso e injetaram trojan em nosso sistema.

A seguir estão os detalhes:

menos / var / log / secure | grep 'Senha com falha' | grep '222.186.15.26' | wc -l 37772 iniciado

e obteve acesso no tempo abaixo: Senha aceita para root a partir da porta 222.186.15.26 65418 ssh2

E de acordo com o IP Location Finder, este IP pertence a algum lugar na China.

Etapas corretivas: siga as etapas fornecidas por: @rainysia

Etapas preventivas ::

  1. De acordo com mim, algum gerenciador de notificações deve estar lá quando alguém tentar ssh ou acessar seu servidor e falhar várias vezes.
  2. Os controladores de taxa de rede devem estar lá se você estiver usando qualquer plataforma em nuvem como aws, gcp, azure etc ...
Sahil Aggarwal
fonte
1
mas, primeiro, o acesso root disallow via ssh, não permitir qualquer acesso ssh com senha, permitir apenas o acesso via SSH com chaves
pietrovismara
0

Eu peguei esse vírus de galinha, quando expus as portas padrão para conectar ao acesso remoto da minha máquina doméstica. no meu caso, este site me ajudou

Passos

1) Liste os arquivos em cron horário. Se você puder ver qualquer arquivo .sh, abra-o.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) Se o arquivo .sh estiver exibindo dados semelhantes aos mostrados abaixo, é um programa de vírus !!

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) Agora, por favor, não se apresse! Fique calmo e tranquilo: D

Não exclua gcc.sh ou não remova o crontab. Se você excluí-lo ou removê-lo, outro processo será gerado imediatamente. Você pode remover o script culpado ou desativá-lo. [Prefiro desativá-lo para mostrar a prova ao cliente]

root@vps-# rm -f /etc/cron.hourly/gcc.sh; 

OU

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) Use o comando top para visualizar vírus ou arquivo malicioso (por exemplo: "mtyxkeaofa"). O PID é 16621, não elimine diretamente o programa, caso contrário ele será novamente produzido, mas para interromper sua operação, use o comando abaixo.


root@vps- # kill -STOP 16621

Exclua arquivos em /etc/init.d. ou desabilite-o [prefiro desabilitá-lo para mostrar a prova ao cliente]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

OU

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa; 

6) Exclua / usr / bin dentro dos arquivos.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) Verifique as alterações recentes do arquivo / usr / bin, o vírus também poderá ser excluído se o outro suspeito for o mesmo diretório.

root@vps-# ls -lt /usr/bin | head

8) Agora mate o programa malicioso, ele não produzirá.

root@vps-# pkill mtyxkeaofa

9) Remova o corpo do vírus.

root@vps-# rm -f /lib/libudev.so

Esse cavalo de Troia também é conhecido como botnets de frango chinês multiplataforma DoS Trojan, Unix - Trojan.DDoS_XOR-1, rootkit incorporado,

Nota: Se você não conseguir encontrar o arquivo .sh, instale o ClamAV, RKHunter e verifique os logs / relatórios para encontrar as informações suspeitas / maliciosas

link para o site real

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

Yashwanth Kambala
fonte
2
Embora esse link possa responder à pergunta, é melhor incluir aqui as partes essenciais da resposta e fornecer o link para referência. As respostas somente para links podem se tornar inválidas se a página vinculada for alterada. - Da avaliação
CaldeiraG
atualizará isso aqui
Yashwanth Kambala 14/01