ฉันมีกระบวนการที่ไม่รู้จักเมื่อฉันเรียกใช้top:

• เมื่อฉันฆ่ากระบวนการมันจะกลับมาอีกครั้งพร้อมชื่อสุ่มอื่น
• เมื่อฉันตรวจสอบระดับ rc.d และ init.d มีชื่อสุ่มจำนวนมากที่คล้ายกันเช่นนี้และอันนี้ก็มี
• เมื่อฉันพยายามที่จะรับ - เอาออกหรือ anthing เอลฟ์มันจะมาอีกครั้ง
• เมื่อฉันเสียบสายเคเบิลเครือข่ายจะเป็นการล็อคเครือข่ายทั้งหมดของเรา

คุณมีความคิดว่าฉันจะลบมันได้อย่างไร?

บริการ / กระบวนการนี้คืออะไร?

นี่คือไฟล์ exe เมื่อฉันลบมันก็จะมาอีกครั้งเช่นกัน

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

เมื่อฉันตรวจสอบ "netstat -natp" มีที่อยู่ต่างประเทศที่มีการจัดตั้งคือ 98.126.251.114:2828 เมื่อฉันพยายามเพิ่มกฎลงใน iptables มันไม่ทำงาน แต่หลังจากลองแล้วเปลี่ยนที่อยู่นี้ใหม่ให้เปลี่ยนเป็น 66.102.253.30:2828 อันนี้

ระบบปฏิบัติการเป็น Debian Wheeze

ฉันมีประสบการณ์เกี่ยวกับโทรจันสตริง 10 บิตแบบสุ่มนี้มันจะส่งแพ็คเก็ตมากมายสำหรับ SYN Flood

1. ลดเครือข่ายของคุณ

โทรจันมีไฟล์ raw มาจาก/lib/libudev.soมันจะคัดลอกและแยกอีกครั้ง มันจะเพิ่มcron.hourlyชื่องานgcc.shแล้วมันจะเพิ่มสคริปต์เริ่มต้นในของคุณ/etc/rc*.d(Debian, CentOS อาจเป็น/etc/rc.d/{init,rc{1,2,3,4,5}}.d)

2. ใช้rootเพื่อเรียกใช้สคริปต์ด้านล่างเพื่อเปลี่ยนสิทธิ์ของโฟลเดอร์:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

3. ลบทุกไฟล์ที่ถูกสร้างขึ้นในวันนี้ชื่อที่ดูเหมือนว่า/etc/rc{0,1,2,3,4,5,6,S}.dS01????????

4. แก้ไข crontab ของคุณลบgcc.shสคริปต์ในของคุณ/etc/cron.hourlyลบgcc.shไฟล์ ( /etc/cron.hourly/gcc.sh) จากนั้นเพิ่มสิทธิ์สำหรับ crontab ของคุณ:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

5. ใช้คำสั่งนี้เพื่อตรวจสอบการเปลี่ยนแปลงไฟล์ล่าสุด: ls -lrt

หากคุณพบไฟล์ที่น่าสงสัยชื่อS01xxxxxxxx(หรือK8xxxxxxxx) ให้ลบออก

6. จากนั้นคุณควรรีบูตโดยไม่มีเครือข่าย

จากนั้นโทรจันควรได้รับการทำความสะอาดและคุณสามารถแก้ไขสิทธิ์ของโฟลเดอร์ให้เป็นค่าดั้งเดิม ( chattr -i /lib /etc/crontab)

นี้เป็นที่รู้จักกัน XORDDos ลินุกซ์โทรจันเคล็ดลับคือการทำงานkillกับ-STOPกระบวนการที่จะหยุดชั่วคราวจึงไม่ได้สร้างขึ้นมาใหม่

`kill -STOP PROCESS_ID`

ฉันจะเดิมพันที่คุณดอลล่ามันเป็นhttps://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ อาการทั้งหมดของคุณตรงตามที่อธิบายไว้

สำหรับฉันมีสองตัวเลือก:

1. สำหรับโทรจันที่ล้อเล่นกับไฟล์ใน / usr / bin ฉันทำสิ่งนี้เท่านั้น: echo> /lib/libudev.so Kill โทรจัน PID

2. สำหรับหนึ่ง messing กับ / bin (ที่นี่มีกระบวนการ 5-10 เสมอสำหรับเศษส่วน chattr + i / bin และทำตามขั้นตอนที่กล่าวถึงโดย rainysia

เราเผชิญกับปัญหาเดียวกันเซิร์ฟเวอร์ของเราก็แฮ็คและฉันพบว่าพวกเขาดุร้ายบังคับให้ลงชื่อเข้าใช้ ssh และประสบความสำเร็จและได้รับโทรจันในระบบของเรา

ต่อไปนี้เป็นรายละเอียด:

น้อยกว่า / var / log / secure | grep 'รหัสผ่านที่ล้มเหลว' | grep '222.186.15.26' | wc -l 37772 เริ่มต้น

และเข้าถึงได้ในเวลาด้านล่าง: รหัสผ่านที่ยอมรับสำหรับรูทจาก 222.186.15.26 พอร์ต 65418 ssh2

และตามตัวค้นหาตำแหน่ง IP ไอพีนี้เป็นของที่ไหนในประเทศจีน

ขั้นตอนการแก้ไข: โปรดทำตามขั้นตอนที่กำหนดโดย: @rainysia

ขั้นตอนการป้องกัน ::

1. ตามที่ฉันแจ้ง managemnet ควรจะมีเมื่อมีคนพยายาม ssh หรือ acces เซิร์ฟเวอร์ของคุณและล้มเหลวหลายครั้ง
2. ตัวควบคุมอัตราเครือข่ายควรอยู่ที่นั่นหากคุณใช้แพลตฟอร์มคลาวด์ใด ๆ เช่น aws, gcp, ฟ้า ฯลฯ

ฉันจะได้รับไวรัสไก่ตัวนี้เมื่อฉันสัมผัสกับพอร์ตเริ่มต้น inorder เพื่อเชื่อมต่อกับการเข้าถึงระยะไกลจากเครื่องที่บ้านของฉัน ในกรณีของฉันเว็บไซต์นี้ช่วยฉันออก

ขั้นตอน

1) รายการไฟล์ภายใต้ cron รายชั่วโมง หากคุณสามารถเห็นไฟล์. sh ใด ๆ โปรดเปิดมัน

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) หากไฟล์. sh แสดงข้อมูลที่คล้ายกันดังแสดงด้านล่างแสดงว่าเป็นโปรแกรมไวรัส !!

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) ตอนนี้โปรดอย่ารีบ! ใจเย็น ๆ และง่าย ๆ : D

อย่าลบ gcc.sh หรืออย่าลบ crontab หากคุณลบหรือลบออกกระบวนการอื่นจะสร้างขึ้นทันที คุณสามารถลบสคริปต์ผู้ร้ายหรือปิดการใช้งานได้ [ฉันชอบที่จะปิดการใช้งานเพื่อแสดงหลักฐานให้กับลูกค้า]

root@vps-# rm -f /etc/cron.hourly/gcc.sh; 

หรือ

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) ใช้คำสั่งด้านบนเพื่อดูไวรัสหรือไฟล์ที่เป็นอันตราย (เช่น: "mtyxkeaofa") PID คือ 16621 อย่าฆ่าโปรแกรมโดยตรงมิฉะนั้นโปรแกรมจะสร้างอีกครั้ง แต่จะหยุดการทำงานโดยใช้คำสั่งด้านล่าง

root@vps- # kill -STOP 16621

ลบไฟล์ภายใน /etc/init.d หรือปิดการใช้งาน [ฉันต้องการปิดการใช้งานเพื่อแสดงหลักฐานให้กับลูกค้า]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

หรือ

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa; 

6) ลบ / usr / bin ภายในคลังเก็บ

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) ตรวจสอบ / usr / bin เก็บการเปลี่ยนแปลงล่าสุดไวรัสยังสามารถลบได้หากผู้ต้องสงสัยอื่นเป็นไดเรกทอรีเดียวกัน

root@vps-# ls -lt /usr/bin | head

8) ตอนนี้ฆ่าโปรแกรมที่เป็นอันตรายมันจะไม่ผลิต

root@vps-# pkill mtyxkeaofa

9) ลบเนื้อหาของไวรัส

root@vps-# rm -f /lib/libudev.so

โทรจันนี้เป็นที่รู้จักกันในชื่อ DoS botnets Trojan, Unix - Trojan.DDoS_XOR-1, Chinese rootkit,

หมายเหตุ: หากคุณไม่พบไฟล์. sh คุณสามารถติดตั้ง ClamAV, RKHunter และตรวจสอบบันทึก / รายงานเพื่อค้นหาสิ่งที่น่าสงสัย / เป็นอันตราย

เชื่อมโยงไปยังเว็บไซต์จริง

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/