Как очистить Ubuntu от вирусов и майнеров?
Так что, похоже, наш VPS взломан, я заметил, что сайты работают медленно, поэтому я проверил процессы, используя htop. Существуют различные cpuminers, обеспечивающие почти 100% загрузку процессора. Я думаю, что взлом произошел из-за устаревшей установки часто используемых CMS. Процессы имеют владельца www-данных.
Можно ли как-то избавиться от этого? Будет ли clamav ловить вирусы или мне нужно будет сделать чистую установку?
1 ответ
TL; DR: установить новый VPS и заново установить CMS с нуля.
Особенно, если вы не знаете, как самостоятельно чистить систему, самый безопасный и простой способ - установить новый VPS. Если вы не знаете, что нужно искать и как работает инфекция, очень легко что-то пропустить при выполнении очистки, а затем инфекция может начаться снова с этих остатков. Очень трудно найти и удалить все следы инфекции из системы. Я сделал это для некоторых наших клиентов, это возможно, но это требует времени и знаний.
Если вы устанавливаете новый VPS, не устанавливайте старую устаревшую установку CMS на этот новый VPS, так как для заражения потребуется всего несколько часов или дней. Вы должны обновить CMS до поддерживаемой, защищенной версии и очистить все задние двери, которые установили злоумышленники. Опять же, если вы не знаете, как это сделать, самый простой способ - установить CMS на новый VPS и скопировать содержимое из старой установки в новую. Не копируйте всю базу данных или файлы, так как оба могут содержать задние двери в зависимости от рассматриваемой CMS.
Если у вас есть чистая неинфицированная копия CMS, вы можете скопировать ее на новый VPS.
Если у вас есть копия, но она устарела, и вы хотите сохранить старое содержимое, вы можете попробовать сравнить копию с зараженной установкой. diff -ru copy infected может помочь здесь, но опять же вам нужно знать, что вы ищете.
С копией или без нее, вы также можете попытаться перечислить все файлы, которые были изменены в прошлом месяце (или дольше, если инфекция произошла некоторое время назад) с find -mtime -30. Это, однако, небезопасно, поскольку злоумышленник мог подделать время изменения файлов.
Если вы видите искаженные строки в файлах .php, это часто является признаком зараженных файлов. Нечто похожее на приведенное ниже является довольно верным признаком зараженного файла.
eval(base64_decode('ZWNobyAiSGVsbG8gTHViV24sIHRoaXMgaXMgaG93IGNvZGUgb2Z0ZW4gbG9va3MgbGlrZSBpZiBhbiBhdHRhY2tlciB3YW50cyB0byBoaWRlIHdoYXQgdGhlIGNvZGUgZG9lcyBmcm9tIHlvdXIgcHJ5aW5nIGV5ZXMuIjs='));
Конечно, вы можете grep -r eval . для этих строк, но опять же не все инфекции обязательно содержат eval. Существуют и другие способы выполнения случайного кода, и злоумышленник мог добавить код, который не был запутан.
Имейте в виду, что если вы пойдете по этому пути, вы должны найти все места, где злоумышленник манипулировал вашей CMS и очистить их, иначе заражение может продолжиться.
В вашем случае может быть и средний путь. Предполагая, что злоумышленник не получил root привилегий (предположение, что, конечно, небезопасно, но поскольку майнеры работают как www-data, это, возможно, верно), вы можете сделать резервную копию и затем удалить все файлы, принадлежащие www-data. Резервная копия должна, конечно, находиться в другой системе, и CMS не должна запускаться из этой резервной копии. Вы также должны очистить crontab из www-data (crontab -e -u www-data). Если заражены только пользовательские www-данные, это должно полностью удалить инфекцию из вашей системы, и вы можете начать установку новой CMS на VPS. Если заражение продолжается, вы должны установить новый VPS и снова выполнить установку CMS.
Относительно clamav: вы можете попробовать запустить его, но, скорее всего, он не вылечит инфекцию, поэтому ваш чистый выигрыш, вероятно, равен нулю.