ฉันจะฆ่ามัลแวร์ที่น่าสนใจบนอินสแตนซ์ AWS EC2 ได้อย่างไร (เซิร์ฟเวอร์ที่ถูกบุกรุก)

26

ฉันพบมัลแวร์บนอินสแตนซ์ ec2 ของฉันซึ่งขุด bitcoin อย่างต่อเนื่องและใช้พลังการประมวลผลของฉัน ฉันระบุกระบวนการได้สำเร็จ แต่ไม่สามารถลบและฆ่าได้

ฉันรันคำสั่งนี้ watch "ps aux | sort -nrk 3,3 | head -n 5" มันแสดงกระบวนการห้าอันดับแรกที่ทำงานบนอินสแตนซ์ของฉันซึ่งฉันพบว่ามีชื่อกระบวนการ ' bashd ' ซึ่งกินซีพียู 30% กระบวนการนี้เป็น

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

ฉันฆ่ากระบวนการนี้โดยใช้kill -9 process_idคำสั่ง หลังจาก 5 วินาทีกระบวนการเริ่มต้นอีกครั้ง

linux  process  kill  malware 
Nadeem Ahmed
แหล่งที่มา
4
คุณไม่ได้ให้รายละเอียดมากพอ (ที่หลายคำสั่งอย่างน้อยที่คุณได้ลอง)
Basile Starynkevitch
28
"เซิร์ฟเวอร์เป็นวัวไม่ใช่สัตว์เลี้ยง" โดยเฉพาะเซิร์ฟเวอร์เสมือนที่ง่ายต่อการสร้างและทำลาย ทิ้งอันนี้ (จบ) และสร้างอีกอัน หรือสร้างใหม่สลับไปมาและเก็บไว้รอบเก่าในขณะที่คุณคิดออกว่ามีมัลแวร์ที่นั่น
user253751
14
อินสแตนซ์ของคุณถูกบุกรุกให้
ดักจับ
4
(หมายเหตุสำหรับผู้อื่นที่อ่านข้อความนี้ - "เซิร์ฟเวอร์เป็นวัวไม่ใช่สัตว์เลี้ยง" ใช้กับเซิร์ฟเวอร์คลาวด์หรือเซิร์ฟเวอร์ที่เหมือนกันจำนวนมากเท่านั้น)
253751
1
นี่คือการขุด Monero ไม่ใช่ bitcoin (ถ้ามันสำคัญ)
Dmitry Kudriavtsev

คำตอบ:

83

หากคุณไม่ได้ใส่ซอฟต์แวร์ไว้ที่นั่นและ / หรือหากคุณคิดว่าอินสแตนซ์ระบบคลาวด์ของคุณถูกบุกรุก: นำออกจากระบบลบและสร้างใหม่ตั้งแต่ต้น (แต่อ่านลิงค์ด้านล่างก่อน) มันไม่ได้อยู่กับคุณอีกต่อไปคุณจะไม่สามารถไว้วางใจได้อีกต่อไป

ดู"วิธีจัดการกับเซิร์ฟเวอร์ที่ถูกโจมตี"บน ServerFault สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่ต้องทำและวิธีการปฏิบัติเมื่อเครื่องถูกบุกรุก

นอกจากสิ่งที่ต้องทำและคิดในรายการที่เชื่อมโยงกับข้างต้นโปรดทราบว่าคุณเป็นใครและคุณอยู่ที่ไหนคุณอาจมีภาระหน้าที่ทางกฎหมายในการรายงานความปลอดภัยด้านไอทีในพื้นที่ / ส่วนกลาง ทีม / บุคคลภายในองค์กรของคุณและ / หรือหน่วยงานที่เกี่ยวข้อง (อาจอยู่ในกรอบเวลาที่แน่นอน)

ยกตัวอย่างเช่นในสวีเดน (ตั้งแต่เดือนธันวาคม 2558) หน่วยงานของรัฐ (เช่นมหาวิทยาลัย) ใด ๆ จะต้องรายงานเหตุการณ์ที่เกี่ยวข้องกับไอทีภายใน 24 ชั่วโมง องค์กรของคุณจะมีเอกสารขั้นตอนการดำเนินการดังกล่าว

Kusalananda
แหล่งที่มา
29
สาธุ ฉันคิดว่ามันไม่สามารถพูดได้ดีขึ้นหรือถ่ายทอดอย่างถูกต้อง "มันไม่ได้เป็นของคุณอีกต่อไป"
Rui F Ribeiro
20
และคุณต้องค้นหาว่ามันไปถึงที่นั่นได้อย่างไรในตอนแรก
kagronick
12

คำสั่งbashdนี้เหมือนกับccminerจากccminer-cryptonightprogramm ถึง mine Monero บนระบบของคุณ (มี tuto: Monero - Ccminer-cryptonight GPU miner บน Linux ), bashdได้มาจาก aliasing หรือโดยการแก้ไขซอร์สโค้ดของโปรแกรม

Cryptonight Malware: วิธีการฆ่ากระบวนการ? (ข้อมูลที่พบในหน้าเว็บมัลแวร์ผู้เชี่ยวชาญ)

มัลแวร์ตัวใหม่นี้อีกครั้งที่เราเรียกว่า cryptonight สิ่งที่เราไม่เคยเห็นมาก่อน มันดาวน์โหลดโปรแกรม Linux ที่ปฏิบัติการได้และซ่อน http daemon ไว้ในพื้นหลังซึ่งเป็นการยากที่จะหารายการกระบวนการได้อย่างรวดเร็ว

กระบวนการลบด้วยตนเอง

คุณสามารถค้นหาว่ามีกระบวนการกำลังทำงาน httpd ซึ่งเริ่มต้นพารามิเตอร์ cryptonight หรือไม่:

ps aux | grep cryptonight

จากนั้นเพียงแค่kill -9 process_idมีสิทธิ์ root (คุณควรจะฆ่ากระบวนการcryptonightไม่ได้bashd)

เพื่อความปลอดภัยคุณควร:

  1. ติดตั้งระบบของคุณใหม่
  2. แก้ไขระบบของคุณเพื่อป้องกันช่องโหว่การโจมตีระยะไกล: เซิร์ฟเวอร์ Linux ที่ถูกแย่งชิงไปยัง Cryptocurrency ผ่านทาง SambaCry Vulnerability
  3. จำกัด ผู้ใช้ให้เรียกใช้คำสั่งที่ จำกัด
GAD3R
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.