10

У меня есть неизвестный процесс, когда я запускаю top:

  • Когда я убиваю процесс, он снова приходит с другим случайным именем.
  • когда я проверяю уровни rc.d и init.d, появляется много случайных имен, похожих на это, и это тоже там.
  • когда я пытаюсь получить удачу или пылинку, он снова приходит.
  • когда я подключаю сетевой кабель, он блокирует всю нашу сеть.

Ты хоть представляешь, как я могу это убрать?

Что это за услуга / процесс?

Это exe-файл, когда я его удаляю, он тоже приходит снова.

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Когда я проверяю "netstat -natp", существует внешний адрес учреждения:98.126.251.114:2828. Когда я пытаюсь добавить правила в iptables, это не работает. Но после попытки и затем перезапустите этот адрес, измените на 66.102.253.30:2828 этот.

ОС Debian Wheeze

5 ответов5

14

Это известно как троян XORDDos Linux. Хитрость в том, чтобы запустить kill с -STOP чтобы процесс был приостановлен, чтобы он не создавал новый.

`kill -STOP PROCESS_ID`
13

У меня есть некоторый опыт в отношении этого случайного 10-битного строкового трояна, он отправит много пакетов для потока SYN.

  1. Вырубить свою сеть

Троянец имеет необработанный файл из /lib/libudev.so , он снова скопирует и разметит . Он также добавит задание cron.hourly именем gcc.sh , затем добавит начальный скрипт в ваш /etc/rc*.d (Debian, CentOS может быть /etc/rc.d/{init,rc{1,2,3,4,5}}.d)

  1. Используйте root для запуска сценария ниже, чтобы изменить права доступа к папке: chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Удалите все файлы /etc/rc{0,1,2,3,4,5,6,S}.d которые были созданы сегодня. Название выглядит как S01???????? ,

  3. Отредактируйте ваш crontab, удалите скрипт gcc.sh в вашем /etc/cron.hourly , удалите файл gcc.sh (/etc/cron.hourly/gcc.sh), затем добавьте привилегии для вашего crontab: sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Используйте эту команду, чтобы проверить последние изменения файла: ls -lrt

Если вы обнаружите какие-либо подозрительные файлы с именем S01xxxxxxxx (или K8xxxxxxxx), удалите их.

  1. Затем вы должны перезагрузиться без сети.

Затем троян должен быть очищен, и вы можете изменить привилегии папки на исходные значения (chattr -i /lib /etc/crontab).

2

Я поставлю вам доллар, это https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ . Все ваши симптомы в точности как описано.

0

Мы также сталкиваемся с той же проблемой: наши серверы также взломаны, и я обнаружил, что они взломали принудительный вход в систему через ssh и получили успех и внедрили трояна в нашу систему.

Ниже приведены подробности:

меньше /var /log /secure | grep 'Неудачный пароль' | grep '222.186.15.26' | wc -l 37772 запущен

и получил доступ в срок ниже: Принят пароль для root от порта 222.186.15.26 65418 ssh2

И согласно IP Location Finder этот IP принадлежит где-то в Китае.

Корректирующие Шаги: пожалуйста, следуйте инструкциям: @rainysia

Профилактические шаги ::

  1. По моему мнению, какое-то уведомление managemnet должно быть там, когда кто-то пытается ssh или получает доступ к вашему серверу и много раз терпит неудачу.
  2. Контроллеры скорости сети должны быть там, если вы используете любую облачную платформу, такую как aws, gcp, azure и т.д ...
0

Для меня было два варианта:

  1. Для трояна, который работает с файлами в /usr /bin, я сделал только это: echo> /lib/libudev.so Убить PID трояна

  2. Для одного, связанного с /bin (здесь всегда было 5-10 процессов, запущенных для фракции chattr +i /bin, и следуйте шагам, упомянутым rainysia

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .