Как я могу уничтожить вредоносное ПО на экземпляре AWS EC2? (скомпрометированный сервер)

26

Я обнаружил вредоносное ПО на своем экземпляре ec2, который постоянно занимался майнингом биткойнов и использовал вычислительную мощность моего экземпляра. Я успешно идентифицировал процесс, но не смог удалить и убить его.

Я выполнил эту команду. watch "ps aux | sort -nrk 3,3 | head -n 5" Она показывает пять лучших процессов, запущенных на моем экземпляре, из которых я обнаружил, что есть процесс с именем ' bashd ', который потребляет 30% процессорного времени. Процесс

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Я убил этот процесс с помощью kill -9 process_idкоманды. Через 5 секунд процесс начался снова.

linux process kill malware Надим Ахмед
источник
4
Вы не даете достаточно подробностей (по крайней мере, несколько команд, которые вы пробовали)
Старынкевич
28
«Серверы - это крупный рогатый скот, а не домашние животные». Особенно виртуальные серверы, которые действительно легко создавать и уничтожать. Выбросьте это (прекратите это) и создайте другое. Или создайте другой, переключитесь и сохраняйте старый, пока вы выясняете, как там попало вредоносное ПО.
user253751
14
ваш экземпляр взломан, уничтожьте его с орбиты
njzk2
4
(примечание для всех, кто читает это: «серверы - это крупный рогатый скот, а не домашние животные» относится только к облачным серверам или к большому количеству идентичных серверов)
user253751
1
это майнинг монеро, а не биткойн (если это имеет значение)
Дмитрий Кудрявцев

Ответы:

83

Если вы не поместили программное обеспечение туда и / или считаете, что ваш облачный экземпляр скомпрометирован: отключите его, удалите и восстановите его с нуля (но сначала прочитайте ссылку ниже). Он вам больше не принадлежит, вы больше не можете ему доверять .

См. «Как бороться с скомпрометированным сервером» в ServerFault для получения дополнительной информации о том, что делать и как себя вести при компрометации компьютера.

В дополнение к тому, что нужно сделать и подумать в списке (ах), связанном с вышеизложенным, помните, что в зависимости от того, кто вы и где вы, у вас может быть законное обязательство сообщить об этом в местную / центральную ИТ-службу безопасности. команда / человек в вашей организации и / или в органах власти (возможно, даже в течение определенного периода времени).

Например, в Швеции (с декабря 2015 г.) любое государственное учреждение (например, университеты) обязаны сообщать об инцидентах, связанных с ИТ, в течение 24 часов. Ваша организация будет иметь документированные процедуры, как это сделать.

Кусалананда
источник
29
Аминь. Я думаю, что это нельзя сказать лучше или правильно выразить "это больше не принадлежит тебе"
Руи Ф. Рибейро
20
И вам нужно выяснить, как оно туда попало в первую очередь.
kagronick
12

Эта команда bashdтакая же, как ccminerиз ccminer-cryptonightпрограммы в мой Monero в вашей системе (есть tuto: Monero - Ccminer-cryptonight GPU miner в Linux ), bashdона получается путем алиасинга или изменения исходного кода программы.

Cryptonight Malware: как убить процесс? (информация найдена на веб-странице эксперта по вредоносным программам)

Это снова новое вредоносное ПО, которое мы называем криптовалютой, чего мы раньше не видели. Он загружает исполняемую программу Linux и скрывает этот демон http в фоновом режиме, что трудно найти на первый взгляд список процессов.

Процесс удаления вручную

Вы можете выполнить поиск запущенного процесса httpd, который запускает параметр cryptonight:

ps aux | grep cryptonight

Тогда просто kill -9 process_idс правами root. (Вы должны убить процесс cryptonightне bashd)

Чтобы быть в безопасности, вы должны:

  1. Переустановите вашу систему
  2. Обновите систему, чтобы предотвратить уязвимость при удаленной атаке: серверы Linux перехвачены в криптовалюту Mine через уязвимость SambaCry
  3. Ограничить пользователей для запуска ограниченных команд
GAD3R
источник