如何在 AWS EC2 实例上杀死 minred 恶意软件?(受损的服务器)

Nad*_*med 27 linux process kill malware

我在我的 ec2 实例上发现了恶意软件,它不断挖掘比特币并使用我的实例处理能力。我成功识别了该进程,但无法删除并终止它。

我运行了这个命令 watch "ps aux | sort -nrk 3,3 | head -n 5" 它显示了在我的实例上运行的前五个进程,从中我发现有一个进程名称“ bashd ”,它消耗了 30% 的 cpu。过程是

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
Run Code Online (Sandbox Code Playgroud)

我使用kill -9 process_id命令终止了这个进程。5 秒后,该过程再次开始。

Kus*_*nda 82

如果您没有将软件放在那里和/或如果您认为您的云实例受到威胁:将其脱机、删除并从头开始重建(但请先阅读下面的链接)。它不再属于你,你不能再信任它

请参阅“如何处理受感染的服务器”ServerFault 上的,了解有关在机器受感染时要做什么以及如何表现的更多信息。

除了上面链接的列表中要做和考虑的事情之外,请注意,根据您的身份和位置,您可能有法律义务报告它给本地/中央 IT 安全部门您组织内的团队/个人和/或当局(甚至可能在特定时间范围内)。

例如,在瑞典(自 2015 年 12 月起),任何国家机构(例如大学)都有义务在 24 小时内报告与 IT 相关的事件。您的组织将有关于如何执行此操作的书面程序。

  • 阿门。我认为“它不再属于你”再好不过了,也不能恰当地表达出来 (29认同)
  • 你首先需要找出它是如何到达那里的。 (20认同)

GAD*_*D3R 12

这个命令bashdccminerccminer-cryptonightprogramm在你的系统上挖门罗币一样(Linux上有教程:Monero-Ccminer-cryptonight GPU miner),bashd通过别名或修改程序的源代码获得。

Cryptonight 恶意软件:如何终止进程?(在恶意软件专家网页上找到的信息)

这又是一种我们称之为cryptonight 的新恶意软件,这是我们以前从未见过的。它下载可执行的Linux程序并将该http守护进程隐藏在后台,乍一看很难找到进程列表。

手动删除过程

您可以搜索是否有正在运行的进程 httpd,它启动了 cryptonight 参数:

ps aux | grep cryptonight
Run Code Online (Sandbox Code Playgroud)

然后只需kill -9 process_id具有 root 权限。(你应该杀死cryptonight不是的进程bashd

为了安全起见,您应该:

  1. 重装系统
  2. 修补您的系统以防止远程攻击漏洞:Linux Servers Hijacked to Mine Cryptocurrency via SambaCry Vulnerability
  3. 限制用户运行有限的命令