Como posso matar o malware minerd em uma instância do AWS EC2? (servidor comprometido)

26

Encontrei malware na minha instância ec2 que estava continuamente minerando bitcoin e usando meu poder de processamento de instância. Eu identifiquei o processo com sucesso, mas não consegui removê-lo e matá-lo.

Executei este comando watch "ps aux | sort -nrk 3,3 | head -n 5" Ele mostra os cinco principais processos em execução na minha instância, dos quais descobri que existe um nome de processo ' bashd ' que estava consumindo 30% da CPU. O processo é

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Eu matei esse processo usando o kill -9 process_idcomando Após 5 segundos, o processo começou novamente.

linux process kill malware Nadeem Ahmed
fonte
4
Você não dá detalhes suficientes (em vários comandos menos que você já tentou)
Basile Starynkevitch
28
"Servidores são gado, não animais de estimação." Servidores especialmente virtuais que são realmente fáceis de criar e destruir. Jogue fora este (encerre-o) e crie outro. Ou crie outro, mude e mantenha o antigo por perto enquanto descobre como o malware chegou lá.
user253751
14
sua instância está comprometida,
tire
4
(nota para ninguém ler isto - "servidores são gado, e não animais de estimação" se aplica apenas a servidores de nuvem ou para um grande número de servidores idênticos)
user253751
11
esta é a mineração Monero, não bitcoin (se importa)
Dmitry Kudriavtsev

Respostas:

83

Se você não colocou o software lá e / ou acha que sua instância da nuvem está comprometida: Coloque-o off-line, exclua-o e reconstrua-o do zero (mas leia o link abaixo primeiro). Ele não pertence mais a você, você não pode mais confiar nela .

Consulte "Como lidar com um servidor comprometido" no ServerFault para obter mais informações sobre o que fazer e como se comportar ao comprometer uma máquina.

Além das coisas a fazer e pensar nas listas vinculadas acima, lembre-se de que, dependendo de quem você é e de onde é, você pode ter a obrigação legal de denunciá-lo a uma segurança de TI local / central equipe / pessoa dentro da sua organização e / ou às autoridades (possivelmente até dentro de um determinado período).

Na Suécia (desde dezembro de 2015), por exemplo, qualquer agência estadual (por exemplo, universidades) é obrigada a relatar incidentes relacionados a TI dentro de 24 horas. Sua organização terá procedimentos documentados sobre como fazer isso.

Kusalananda
fonte
29
Um homem. Eu acho que não pode ser dito melhor ou adequadamente transmitida "ele não pertence mais a você"
Rui F Ribeiro
20
E você precisa descobrir como chegou lá em primeiro lugar.
precisa saber é o seguinte
12

Este comando bashdé o mesmo que ccminerdo ccminer-cryptonightprogramm para minerar o Monero no seu sistema (existe o tuto: Monero - Ccminer-cryptonight GPU miner no Linux ), o bashdobtido é por alias ou pela modificação do código fonte do programa.

Malware Cryptonight: como matar o processo? (informações encontradas na página de especialistas em malware)

Este novo malware que chamamos de cryptonight, o que não vimos antes. Ele baixa o programa executável do Linux e oculta o daemon http em segundo plano, o que é difícil de encontrar à lista de processos à primeira vista.

Processo de remoção manual

Você pode procurar se existe o processo httpd em execução, que inicia o parâmetro cryptonight:

ps aux | grep cryptonight

Em seguida, apenas kill -9 process_idcom permissões de root. (Você deve matar o processo, cryptonightnão o bashd)

Para estar seguro, você deve:

  1. Reinstale o seu sistema
  2. Aplique patches no seu sistema para evitar a vulnerabilidade de ataque remoto: Servidores Linux seqüestrados para minerar criptomoeda via SambaCry Vulnerability
  3. Restringir usuários para executar comandos limitados
GAD3R
fonte