2

Кажется, у меня есть хост Linux (CentOS), зараженный каким-то вредоносным ПО.

Существует исполняемый называется cpubal й сти , который был создан в / TMP /. Кажется, что он запускается сам и потребляет 100% ресурсов процессора, делая хост очень медленным.

Я могу легко прекратить PID и затем вызвать файл преступника, но он возвращается через день или около того. Я не вижу записей в crontab, которые его запускают.

Я не совсем уверен, что еще я должен делать, есть ли совет. Поиск в Google, похоже, не слишком связан с «cpubal e nce», однако я обнаружил файл в списке вредоносных программ под названием «cpubal a nce», который был того же размера. (Другой MD5, хотя).

Я запустил clamscan, и он обнаружил файл как:

  • /tmp/cpubalence: Unix.Malware.Агент-1755468

Я сканировал весь компьютер, и он также нашел:

  • {SNIP}/sshd: Unix.Trojan.Агент-37008 НАЙДЕН
  • {SNIP}/jbudp: Unix.Trojan.Агент-37008 НАЙДЕН
  • {SNIP}/console.war: Java.Malware.Агент-1775460 НАЙДЕН

Console.war - это файл Java, связанный с программным обеспечением с открытым исходным кодом, который я использую на хосте, он изначально не обнаруживался при сканировании, но теперь (несколько дней спустя) он отображается как зараженный файл. Возможно ли это красная сельдь?

Скорее всего, я перестрою машину, так как это будет самый безопасный вариант, чтобы убрать угрозу. Однако я хотел бы знать больше о том, чем я заразился и как это произошло.

2 ответа2

1

Как вы говорите, восстановление системы из чистой ОС - это путь. Теперь, когда система взломана, вы не можете ей доверять.

Что еще вы должны сделать? Удалите его из сети немедленно. Вероятно, он использует 100% ЦП, потому что он выполняет атаки DDoS (распределенный отказ в обслуживании) или сканирует сети, чтобы найти больше систем для атаки, которые могут нанести вред другим системам. Чем дольше вы оставляете эту систему включенной и подключенной к сети, тем больший ущерб может нанести вредоносная программа: вам и другим.

Я не знаю, о какой именно вредоносной программе вы говорите, я просто даю вам общий совет, увидев недавние атаки, подобные этой.

Веб-приложения Java кажутся популярной целью в наши дни, поэтому, какой бы ни был консольный файл, возможно, был начальный вектор. Если это веб-приложение открыто для Интернета, не запускайте его снова на чистой, переустановленной системе - вы можете просто снова скомпрометироваться.

Вы говорите, что это часть некоторого программного обеспечения с открытым исходным кодом - проверьте наличие обновлений безопасности для этого программного обеспечения. Вероятно (но не точно), что любой недостаток, которым воспользовался атакующий, уже исправлен. И помните: любое доступное в Интернете веб-приложение должно постоянно обновляться с помощью исправлений безопасности, иначе оно будет найдено и использовано.

Кроме того, тревожит тот факт, что ваш сканер подозревает sshd . Если злоумышленник может скомпрометировать демон ssh, он обычно использует его для записи паролей, когда пользователи входят в систему удаленно, используя ssh. Если вы или кто-либо другой подключился к этой системе через ssh и вошел в систему с паролем, вы должны предположить, что пароль был взломан, и немедленно сменить пароль .

Удачи. Надеемся, что этот инцидент не нанес серьезного ущерба, и вы можете использовать эту возможность, чтобы обезопасить свою систему и избежать будущих проблем.

0

это случилось со мной тоже.

Я обнаружил, что злоумышленник использовал мой сервер postgres для создания файлов в /tmp через функцию в публичной схеме.

Я рекомендую перенести базы данных на другой сервер и изменить пароли по умолчанию в новых условиях.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .