ランダムコマンドを使用した不明なLinuxプロセス

12

実行時に不明なプロセスがありますtop

ここに画像の説明を入力してください

  • プロセスを強制終了すると、別のランダムな名前でプロセスが再び来ます。
  • rc.dレベルとinit.dを確認すると、このようなランダムな名前がたくさんあり、これもそこにあります。
  • 私がapt-get removeまたは他のものを試そうとすると、それは再び来ています。
  • ネットワークケーブルを接続すると、ネットワーク全体がロックされます。

どうすれば削除できるかわかりますか?

このサービス/プロセスは何ですか?

これはexeファイルで、削除するとまた来ます。 

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

「netstat -natp」をチェックすると、確立された外部アドレスが98.126.251.114:2828です。iptablesにルールを追加しようとすると、機能しません。しかし、このアドレスを再試行すると、このアドレスが66.102.253.30:2828に変わります。

OSはDebian Wheeze

linux  ubuntu  ssh  debian  virus 
user1424059
ソース
5
おそらくいくつかのボットネットクライアント(マシンが危険にさらされています)。あなたはそれがどのように開始されるかを知る必要があります。などのユーティリティcruftは、どのファイルがパッケージに属していないかを確認するのに役立ちます。
ダン
2
ps l親プロセスが何であるかを示します。ほとんどの場合、それはこのプロセスを生み出しているものを教えてくれます。必要な情報については、PPID列を確認してください。このマルウェアを宣言するのはそんなに早くありません。
krowe
+1は親プロセスをチェックします。ファイルがあればと/use/bin/hgmjzjkpxa存在する(それはでは/ usrだろうか?)それはまた、リンク、または何か他に面白いに記載されているls -la、またはで表示lessまたはstrings
Xen2050、2015
親プロセスはなく、whoamiプロセスのように見えます。「netstat -natp」を確認すると、外部アドレスが98.126.251.114:2828であることが確認されます。iptablesにルールを追加しようとすると、機能しません。しかし、このアドレスを再試行すると、このアドレスが66.102.253.30:2828に変わります。これについて何か知っていますか?
user1424059 2015

回答:

15

私はこのランダムな10ビット文字列のトロイの木馬についていくつかの経験を持っています。SYNフラッドに対して大量のパケットを送信します。

  1. ネットワークを削減する

トロイの木馬は/lib/libudev.so、からの未加工ファイルを持っています。コピーして再びフォークします。また、cron.hourlyという名前のジョブgcc.shを追加し、次に/etc/rc*.d(Debian、CentOSが/etc/rc.d/{init,rc{1,2,3,4,5}}.d)に初期スクリプトを追加します

  1. rootフォルダーの権限を変更するには、以下のスクリプトを実行するために使用します。chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. /etc/rc{0,1,2,3,4,5,6,S}.d今日作成されたすべてのファイルを削除しますS01????????。名前はのようになります。

  3. crontabを編集し、gcc.sh内のスクリプトを/etc/cron.hourly削除し、gcc.shファイル(/etc/cron.hourly/gcc.sh)を削除してから、crontabの権限を追加します。sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. このコマンドを使用して、最新のファイル変更を確認します。 ls -lrt

S01xxxxxxxx(またはK8xxxxxxxx)という名前の疑わしいファイルを見つけたら、削除します。

  1. 次に、ネットワークなしで再起動する必要があります。

その後、トロイの木馬を駆除し、フォルダの権限を元の値に変更できます(chattr -i /lib /etc/crontab)。

レイニシア
ソース
この回答の指示は私を救いました。その年齢にも関わらず、このトロイの木馬は未だに出回っているようです。ただし、sedコマンドは実際にはファイルを変更しないため、手順4ではエラーが発生します。ただし、単に変更されますsed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab。また、@ Colin Rosenthalの回答のリンクによると、感染はルートのブルートフォースsshパスワードを介して行われます。したがって、再感染を防ぐために、ネットワークを再起動する前にrootパスワードを変更または無効化してください。
フレデリック2018
chattr -i /libchattr: Operation not supported while reading flags on /lib手がかりを返しますか?私の/ libはusr / libを指しています
donkey
また、sudo apt install --reinstall libudev1
donkey
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib /が実行中にアクセスが拒否されました。suとsudoで実行した場合でも
Yashwanth Kambala
15

これはトリックを実行することですXORDDos Linuxのトロイの木馬として知られているkill-STOP、それは新しいものを作成しないように一時停止するプロセスのために。

`kill -STOP PROCESS_ID`
アルジェリアシック
ソース
すごい。これがまさに私が求めていたものです。再起動しないと、このウイルスが常にメモリ内にある場合、このウイルスを取り除くことはできません。停止後にフォルダをchmodする必要はありません。ファイルとリンクを削除するだけです。
Oleg Bolden
0

私には2つのオプションがありました。

  1. / usr / bin内のファイルをいじくっているトロイの木馬の場合、私はこれだけを実行しました:echo> /lib/libudev.soトロイの木馬のPIDを強制終了します

  2. / binをいじくり回している場合(ここでは常に、chattr + i / binの割合で5-10のプロセスが実行されており、rainysiaが述べた手順に従ってください

ザタラ
ソース
0

私たちも同じ問題に直面しています。私たちのサーバーもハッキングされており、サーバーがブルートフォースでsshログインを強制し、成功し、システムにトロイの木馬を挿入していることがわかりました。

詳細は次のとおりです。

/ var / log / secure | grep 'Failed password' | grep '222.186.15.26' | wc -l 37772が開始しました

以下の時間にアクセスできました:222.186.15.26ポート65418 ssh2からrootのパスワードを受け入れました

IP Location Finderによると、このIPは中国のどこかに属しています。

修正手順: @rainysiaによって与えられた手順に従ってください:

予防手順 ::

  1. 私によれば、誰かがあなたのサーバーをsshまたはaccesにしようとして何度も失敗したときに、いくつかの通知managemnetがそこにあるはずです。
  2. aws、gcp、azureなどのクラウドプラットフォームを使用している場合は、ネットワークレートコントローラーが必要です。
サヒル・アガーワル
ソース
1
ただし、最初に、ssh経由のルートアクセスを許可せず、パスワードを使用したsshアクセスを許可せず、キーを使用したssh経由のアクセスのみを許可します
pietrovismara
0

ホームマシンからリモートアクセスに接続するためにデフォルトポートを公開したときに、このチキンウイルスに感染しました。私の場合、このサイトは私を助けました

手順

1)時間ごとのcronの下にファイルをリストします。.shファイルが表示されている場合は、それを開いてください。

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2).shファイルに以下のようなデータが表示されている場合、それはウイルスプログラムです。 

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3)さあ、急がないでください!落ち着いて簡単に:D

gcc.shを削除したり、crontabを削除したりしないでください。削除または削除すると、すぐに別のプロセスが生成されます。問題のあるスクリプトを削除するか、無効にすることができます。[お客様に証拠を表示するために無効にしたい]

root@vps-# rm -f /etc/cron.hourly/gcc.sh;

または

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4)topコマンドを使用して、ウイルスまたは悪意のあるファイルを表示します(例: "mtyxkeaofa")PIDは16621で、プログラムを直接強制終了しないでください。

root@vps- # kill -STOP 16621

/etc/init.d内のファイルを削除します。または無効にする[お客様に証拠を表示するために無効にすることをお勧めします]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

または 

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa;

6)アーカイブ内の/ usr / binを削除します。

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7)/ usr / binが最近の変更をアーカイブしていることを確認します。他の容疑者が同じディレクトリである場合、ウイルスを削除することもできます。

root@vps-# ls -lt /usr/bin | head

8)悪意のあるプログラムを強制終了します。生成されません。

root@vps-# pkill mtyxkeaofa

9)ウイルス本体を削除します。

root@vps-# rm -f /lib/libudev.so

このトロイの木馬は、Chinese Chicken Multiplatform DoSボットネットトロイの木馬、Unix-Trojan.DDoS_XOR-1、組み込みルートキットとしても知られています。

注:.shファイルが見つからない場合は、ClamAV、RKHunterをインストールし、ログ/レポートを確認して、疑わしい/悪意のあるファイルを見つけてください。

実際のサイトへのリンク

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

ヤシュワント・カンバラ
ソース
2
このリンクで質問に答えることができますが、回答の重要な部分をここに含め、参照用のリンクを提供することをお勧めします。リンクされたページが変更されると、リンクのみの回答が無効になる可能性があります。- レビューから
CaldeiraG
ここで更新します
Yashwanth Kambala
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.