Nad*_*med 27 linux process kill malware
我在我的 ec2 实例上发现了恶意软件,它不断挖掘比特币并使用我的实例处理能力。我成功识别了该进程,但无法删除并终止它。
我运行了这个命令
watch "ps aux | sort -nrk 3,3 | head -n 5"
它显示了在我的实例上运行的前五个进程,从中我发现有一个进程名称“ bashd ”,它消耗了 30% 的 cpu。过程是
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
我使用kill -9 process_id命令终止了这个进程。5 秒后,该过程再次开始。
Kus*_*nda 82
如果您没有将软件放在那里和/或如果您认为您的云实例受到威胁:将其脱机、删除并从头开始重建(但请先阅读下面的链接)。它不再属于你,你不能再信任它。
请参阅“如何处理受感染的服务器”ServerFault 上的,了解有关在机器受感染时要做什么以及如何表现的更多信息。
除了上面链接的列表中要做和考虑的事情之外,请注意,根据您的身份和位置,您可能有法律义务报告它给本地/中央 IT 安全部门您组织内的团队/个人和/或当局(甚至可能在特定时间范围内)。
例如,在瑞典(自 2015 年 12 月起),任何国家机构(例如大学)都有义务在 24 小时内报告与 IT 相关的事件。您的组织将有关于如何执行此操作的书面程序。
GAD*_*D3R 12
这个命令bashd和ccminer从ccminer-cryptonightprogramm在你的系统上挖门罗币一样(Linux上有教程:Monero-Ccminer-cryptonight GPU miner),bashd通过别名或修改程序的源代码获得。
Cryptonight 恶意软件:如何终止进程?(在恶意软件专家网页上找到的信息)
这又是一种我们称之为cryptonight 的新恶意软件,这是我们以前从未见过的。它下载可执行的Linux程序并将该http守护进程隐藏在后台,乍一看很难找到进程列表。
手动删除过程
您可以搜索是否有正在运行的进程 httpd,它启动了 cryptonight 参数:
ps aux | grep cryptonight
然后只需kill -9 process_id具有 root 权限。(你应该杀死cryptonight不是的进程bashd)
为了安全起见,您应该: