У меня есть неизвестный процесс при запуске top
:
- Когда я убиваю процесс, он снова приходит с другим случайным именем.
- когда я проверяю уровни rc.d и init.d, появляется много случайных имен, похожих на это, и это тоже там.
- когда я пытаюсь получить удаляющиеся или пылинки, он приходит снова.
- когда я подключаю сетевой кабель, он блокирует всю нашу сеть.
Ты хоть представляешь, как я могу это убрать?
Что это за услуга / процесс?
Это исполняемый файл, когда я его удаляю, он снова приходит.
/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa
Когда я проверяю "netstat -natp", существует внешний адрес учреждения: 98.126.251.114:2828. Когда я пытаюсь добавить правила в iptables, это не работает. Но после попытки и затем перезапустите этот адрес, измените на 66.102.253.30:2828 этот.
ОС Debian Wheeze
cruft
могут пригодиться, чтобы увидеть, какие файлы не принадлежат пакетам.ps l
покажет вам, что является родительским процессом. Скорее всего, это скажет вам, что порождает этот процесс. Посмотрите на столбец PPID для информации, которую вы хотите. Я бы не стал так быстро объявлять эту вредоносную программу./use/bin/hgmjzjkpxa
существует (может ли он быть в / usr?), Это также ссылка или что-то еще интересное в спискеls -la
, или просмотр с помощьюless
илиstrings
?Ответы:
У меня есть некоторый опыт в отношении этого случайного 10-битного строкового трояна, он отправит много пакетов для потока SYN.
Троян имеет исходный файл
/lib/libudev.so
, который будет скопирован и снова разветвлен. Он также добавитcron.hourly
задание с именемgcc.sh
, затем добавит начальный скрипт в ваш/etc/rc*.d
(может быть, Debian, CentOS/etc/rc.d/{init,rc{1,2,3,4,5}}.d
)Используйте
root
для запуска сценария ниже, чтобы изменить права доступа к папке:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
Удалить все
/etc/rc{0,1,2,3,4,5,6,S}.d
файлы, которые были созданы сегодня, имя выглядит такS01????????
.Отредактируйте ваш crontab, удалите
gcc.sh
скрипт в вашем/etc/cron.hourly
, удалитеgcc.sh
файл (/etc/cron.hourly/gcc.sh
), затем добавьте привилегии для вашего crontab:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
Используйте эту команду, чтобы проверить последние изменения файла:
ls -lrt
Если вы обнаружите подозрительные файлы с именем
S01xxxxxxxx
(илиK8xxxxxxxx
), удалите их.Затем троян должен быть очищен, и вы можете изменить привилегии папки до исходных значений (
chattr -i /lib /etc/crontab
).источник
sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
. Кроме того, согласно ссылке в ответе @Colin Rosenthal, заражение происходит через грубый ssh пароль root. Таким образом, чтобы предотвратить повторное заражение, измените или отключите пароль root перед перезагрузкой сети.chattr -i /lib
возвращаетchattr: Operation not supported while reading flags on /lib
какие-либо улики? My / lib указывает на usr / libЭто известно как XORDDos Linux Trojan Хитрость заключается в том, чтобы работать
kill
с-STOP
для процесса , чтобы быть приостановлена , так что не создает новый.источник
Я поставлю вам доллар, это https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ . Все ваши симптомы в точности как описано.
источник
Для меня было два варианта:
Для трояна, который работает с файлами в / usr / bin, я сделал только это: echo> /lib/libudev.so Убить PID трояна
Для одного, связанного с / bin (здесь всегда было 5-10 процессов, запущенных для фракции chattr + i / bin, и следуйте шагам, упомянутым rainysia
источник
Мы также сталкиваемся с той же проблемой: наши серверы также взломаны, и я обнаружил, что они взломали принудительный вход в систему через ssh и получили успех и внедрили трояна в нашу систему.
Ниже приведены подробности:
меньше / var / log / secure | grep 'Неудачный пароль' | grep '222.186.15.26' | wc -l 37772 запущен
и получил доступ в срок ниже: Принят пароль для root от порта 222.186.15.26 65418 ssh2
И согласно IP Location Finder этот IP принадлежит где-то в Китае.
Корректирующие Шаги: пожалуйста, следуйте инструкциям: @rainysia
Профилактические шаги ::
источник
Я получил этот куриный вирус, когда выставил порты по умолчанию для подключения к удаленному доступу с моей домашней машины. в моем случае этот сайт помог мне
меры
1) Список файлов в почасовом хроне. Если вы видите какой-либо файл .sh, пожалуйста, откройте его.
2) Если в файле .sh отображаются данные, аналогичные приведенным ниже, то это программа Virus !!
3) Теперь, пожалуйста, не спешите! Сохраняйте спокойствие и просто: D
Не удаляйте gcc.sh и не удаляйте crontab. Если вы удалите или удалите его, другой процесс будет создан немедленно. Вы можете удалить сценарий виновника или отключить его. [Я предпочитаю отключить его, чтобы показать доказательство клиенту]
ИЛИ ЖЕ
4) Используйте команду top для просмотра вируса или вредоносного файла (например, «mtyxkeaofa»). PID - 16621, напрямую не уничтожайте программу, в противном случае она снова будет работать, но для остановки ее работы используйте следующую команду.
Удалите файлы в /etc/init.d. или отключить его [я предпочитаю отключить его, чтобы показать доказательство клиенту]
ИЛИ ЖЕ
6) Удалить / usr / bin внутри архивов.
7) Проверьте / usr / bin архивирует последние изменения, вирус также может быть удален, если другой подозреваемый находится в том же каталоге.
8) Теперь убейте вредоносную программу, она не будет производить.
9) Удалить вирус тела.
Этот троян также известен как DoS-бот-сети для китайских куриных мультиплатформ, Unix - Trojan.DDoS_XOR-1, Embedded rootkit,
ссылка на актуальный сайт
https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/
источник