Неизвестный процесс Linux со случайной командой

12

У меня есть неизвестный процесс при запуске top:

введите описание изображения здесь

  • Когда я убиваю процесс, он снова приходит с другим случайным именем.
  • когда я проверяю уровни rc.d и init.d, появляется много случайных имен, похожих на это, и это тоже там.
  • когда я пытаюсь получить удаляющиеся или пылинки, он приходит снова.
  • когда я подключаю сетевой кабель, он блокирует всю нашу сеть.

Ты хоть представляешь, как я могу это убрать?

Что это за услуга / процесс?

Это исполняемый файл, когда я его удаляю, он снова приходит.

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Когда я проверяю "netstat -natp", существует внешний адрес учреждения: 98.126.251.114:2828. Когда я пытаюсь добавить правила в iptables, это не работает. Но после попытки и затем перезапустите этот адрес, измените на 66.102.253.30:2828 этот.

ОС Debian Wheeze

user1424059
источник
5
Вероятно, какой-то клиент ботнета (ваша машина взломана). Вы должны выяснить, как это началось. Такие утилиты, как cruftмогут пригодиться, чтобы увидеть, какие файлы не принадлежат пакетам.
Дан
2
ps lпокажет вам, что является родительским процессом. Скорее всего, это скажет вам, что порождает этот процесс. Посмотрите на столбец PPID для информации, которую вы хотите. Я бы не стал так быстро объявлять эту вредоносную программу.
15
+1, чтобы проверить родительский процесс. И если файл /use/bin/hgmjzjkpxaсуществует (может ли он быть в / usr?), Это также ссылка или что-то еще интересное в списке ls -la, или просмотр с помощью lessили strings?
Xen2050
нет никакого родительского процесса, он похож на процесс whoami, есть одна вещь, когда я проверяю "netstat -natp", есть внешний адрес учреждения 98.126.251.114:2828. когда я пытаюсь добавить правила в iptables, это не работает. Но после попытки и затем перезапустите этот адрес, измените на 66.102.253.30:2828 этот. у тебя есть идеи по этому поводу?
user1424059

Ответы:

15

У меня есть некоторый опыт в отношении этого случайного 10-битного строкового трояна, он отправит много пакетов для потока SYN.

  1. Вырубить свою сеть

Троян имеет исходный файл /lib/libudev.so, который будет скопирован и снова разветвлен. Он также добавит cron.hourlyзадание с именем gcc.sh, затем добавит начальный скрипт в ваш /etc/rc*.d(может быть, Debian, CentOS /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. Используйте rootдля запуска сценария ниже, чтобы изменить права доступа к папке:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Удалить все /etc/rc{0,1,2,3,4,5,6,S}.dфайлы, которые были созданы сегодня, имя выглядит так S01????????.

  3. Отредактируйте ваш crontab, удалите gcc.shскрипт в вашем /etc/cron.hourly, удалите gcc.shфайл ( /etc/cron.hourly/gcc.sh), затем добавьте привилегии для вашего crontab:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Используйте эту команду, чтобы проверить последние изменения файла: ls -lrt

Если вы обнаружите подозрительные файлы с именем S01xxxxxxxx(или K8xxxxxxxx), удалите их.

  1. Затем вы должны перезагрузиться без сети.

Затем троян должен быть очищен, и вы можете изменить привилегии папки до исходных значений ( chattr -i /lib /etc/crontab).

rainysia
источник
Инструкции в этом ответе спасли меня. Несмотря на возраст, этот троян по-прежнему находится в дикой природе. Однако на шаге 4 возникает ошибка, поскольку команда sed фактически не изменяет файл. Это просто модифицировано, хотя: sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab. Кроме того, согласно ссылке в ответе @Colin Rosenthal, заражение происходит через грубый ssh ​​пароль root. Таким образом, чтобы предотвратить повторное заражение, измените или отключите пароль root перед перезагрузкой сети.
Фредерик
chattr -i /libвозвращает chattr: Operation not supported while reading flags on /libкакие-либо улики? My / lib указывает на usr / lib
donkey
Я также не могу восстановить сеть даже после выполнения sudo apt install --reinstall libudev1
donkey
chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / во время работы получил запрещенное разрешение, даже запущенный с su и sudo
Yashwanth Kambala
15

Это известно как XORDDos Linux Trojan Хитрость заключается в том, чтобы работать killс -STOPдля процесса , чтобы быть приостановлена , так что не создает новый.

`kill -STOP PROCESS_ID`
Algeriassic
источник
Отлично. Это именно то, что я искал. Без перезагрузки вы действительно не сможете избавиться от этого вируса, если он всегда находится в памяти. Вам даже не нужно chmod какие-либо папки после его остановки - просто удалите файлы и ссылки, и все.
Олег Болден
0

Для меня было два варианта:

  1. Для трояна, который работает с файлами в / usr / bin, я сделал только это: echo> /lib/libudev.so Убить PID трояна

  2. Для одного, связанного с / bin (здесь всегда было 5-10 процессов, запущенных для фракции chattr + i / bin, и следуйте шагам, упомянутым rainysia

Zatarra
источник
0

Мы также сталкиваемся с той же проблемой: наши серверы также взломаны, и я обнаружил, что они взломали принудительный вход в систему через ssh и получили успех и внедрили трояна в нашу систему.

Ниже приведены подробности:

меньше / var / log / secure | grep 'Неудачный пароль' | grep '222.186.15.26' | wc -l 37772 запущен

и получил доступ в срок ниже: Принят пароль для root от порта 222.186.15.26 65418 ssh2

И согласно IP Location Finder этот IP принадлежит где-то в Китае.

Корректирующие Шаги: пожалуйста, следуйте инструкциям: @rainysia

Профилактические шаги ::

  1. По моему мнению, какое-то уведомление managemnet должно быть там, когда кто-то пытается ssh или получает доступ к вашему серверу и много раз терпит неудачу.
  2. Контроллеры скорости сети должны быть там, если вы используете любую облачную платформу, такую ​​как aws, gcp, azure и т.д ...
Сахил Аггарвал
источник
1
но во-первых, запретить root-доступ через ssh, запретить любой ssh-доступ с паролем, разрешить только доступ через ssh с ключами
pietrovismara
0

Я получил этот куриный вирус, когда выставил порты по умолчанию для подключения к удаленному доступу с моей домашней машины. в моем случае этот сайт помог мне

меры

1) Список файлов в почасовом хроне. Если вы видите какой-либо файл .sh, пожалуйста, откройте его.

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) Если в файле .sh отображаются данные, аналогичные приведенным ниже, то это программа Virus !!

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) Теперь, пожалуйста, не спешите! Сохраняйте спокойствие и просто: D

Не удаляйте gcc.sh и не удаляйте crontab. Если вы удалите или удалите его, другой процесс будет создан немедленно. Вы можете удалить сценарий виновника или отключить его. [Я предпочитаю отключить его, чтобы показать доказательство клиенту]

root@vps-# rm -f /etc/cron.hourly/gcc.sh; 

ИЛИ ЖЕ

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) Используйте команду top для просмотра вируса или вредоносного файла (например, «mtyxkeaofa»). PID - 16621, напрямую не уничтожайте программу, в противном случае она снова будет работать, но для остановки ее работы используйте следующую команду.


root@vps- # kill -STOP 16621

Удалите файлы в /etc/init.d. или отключить его [я предпочитаю отключить его, чтобы показать доказательство клиенту]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

ИЛИ ЖЕ

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa; 

6) Удалить / usr / bin внутри архивов.

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) Проверьте / usr / bin архивирует последние изменения, вирус также может быть удален, если другой подозреваемый находится в том же каталоге.

root@vps-# ls -lt /usr/bin | head

8) Теперь убейте вредоносную программу, она не будет производить.

root@vps-# pkill mtyxkeaofa

9) Удалить вирус тела.

root@vps-# rm -f /lib/libudev.so

Этот троян также известен как DoS-бот-сети для китайских куриных мультиплатформ, Unix - Trojan.DDoS_XOR-1, Embedded rootkit,

Примечание: если вы не можете найти файл .sh, вы можете установить ClamAV, RKHunter и проверить журналы / отчет, чтобы найти подозрительные / вредоносные

ссылка на актуальный сайт

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

Яшвант Камбала
источник
2
Хотя эта ссылка может ответить на вопрос, лучше включить сюда основные части ответа и предоставить ссылку для справки. Ответы, содержащие только ссылки, могут стать недействительными, если связанная страница изменится. - Из обзора
CaldeiraG
обновлю это здесь
Yashwanth Kambala