Unbekannter Linux-Prozess mit zufälligem Befehl

Ich habe einen unbekannten Prozess beim Ausführen von top:

• Wenn ich den Prozess beende, kommt er wieder mit einem anderen zufälligen Namen.
• Wenn ich die rc.d-Ebenen und init.d überprüfe, gibt es viele zufällige Namen, die diesem ähnlich sind, und dieser ist auch da.
• Wenn ich versuche, etwas zu entfernen oder etwas anderes zu bekommen, kommt es wieder.
• Wenn ich ein Netzwerkkabel einstecke, wird unser gesamtes Netzwerk gesperrt.

Haben Sie eine Idee, wie ich es entfernen kann?

Was ist dieser Service / Prozess?

Dies ist die exe-Datei, wenn ich sie lösche, kommt sie auch wieder.

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

Wenn ich "netstat -natp" überprüfe, gibt es eine ausländische Niederlassungsadresse 98.126.251.114:2828. Wenn ich versuche, Regeln zu Iptables hinzuzufügen, funktioniert es nicht. Aber nachdem Sie versucht haben, diese Adresse erneut zu starten, ändern Sie diese auf 66.102.253.30:2828.

OS ist Debian Wheeze

Dies ist bekannt als XORDDos Linux Trojan Der Trick zu laufen ist killmit -STOPfür den Prozess angehalten werden , so dass es keine neue schafft.

`kill -STOP PROCESS_ID`

Ich habe einige Erfahrungen mit diesem zufälligen 10-Bit-String-Trojaner, der viele Pakete für die SYN-Flut sendet.

1. Reduzieren Sie Ihr Netzwerk

Der Trojaner hat eine Rohdatei /lib/libudev.so, die kopiert und wieder gegabelt wird. Es wird auch ein cron.hourlyJob mit dem Namen hinzugefügt gcc.sh, dann wird das erste Skript in Ihrem /etc/rc*.d(Debian, CentOS kann sein /etc/rc.d/{init,rc{1,2,3,4,5}}.d) hinzugefügt.

2. Verwenden Sie rootdas folgende Skript ausführen , um die Ordner - Berechtigungen zu ändern:chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

3. Löschen Sie alle /etc/rc{0,1,2,3,4,5,6,S}.dDateien, die heute erstellt wurden. Der Name sieht so aus S01????????.

4. Bearbeiten Sie Ihre Crontab, löschen Sie das gcc.shSkript in Ihrer /etc/cron.hourly, löschen Sie die gcc.shDatei ( /etc/cron.hourly/gcc.sh) und fügen Sie dann Berechtigungen für Ihre Crontab hinzu:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

5. Verwenden Sie diesen Befehl, um die neuesten Dateiänderungen zu überprüfen: ls -lrt

Wenn Sie verdächtige Dateien mit dem Namen S01xxxxxxxx(oder K8xxxxxxxx) finden, löschen Sie diese.

6. Dann sollten Sie ohne Netzwerk neu starten.

Dann sollte der Trojaner gesäubert werden und Sie können die Ordnerrechte auf die ursprünglichen Werte ändern ( chattr -i /lib /etc/crontab).

Ich wette, es ist https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-self-with-an-embedded-rootkit/ . Alle Ihre Symptome sind genau wie beschrieben.

Für mich gab es zwei Möglichkeiten:

1. Für den Trojaner, der mit Dateien in / usr / bin in Unordnung gerät, habe ich nur Folgendes getan: echo> /lib/libudev.so Töte die PID des Trojaners

2. Für das eine Spiel mit / bin (hier gab es immer 5-10 Prozesse, die für einen Bruchteil von chattr + i / bin liefen, und befolgen Sie die von rainysia genannten Schritte

Wir haben auch das gleiche Problem: Unsere Server sind ebenfalls gehackt und ich habe festgestellt, dass sie das SSH-Login brutal erzwungen haben und Erfolge erzielt und Trojaner in unser System eingeschleust haben.

Es folgen die Details:

less / var / log / secure | grep 'Passwort fehlgeschlagen' | grep '222.186.15.26' | wc -l 37772 hat begonnen

und bekam Zugriff auf unter Zeit: Akzeptiertes Passwort für root von 222.186.15.26 Port 65418 ssh2

Und laut IP Location Finder gehört diese IP irgendwo nach China.

Korrekturmaßnahmen: Bitte befolgen Sie die Schritte von: @rainysia

Vorbeugende Schritte :

1. Laut mir sollte ein Benachrichtigungsmanagemnet vorhanden sein, wenn jemand versucht hat, auf Ihren Server zuzugreifen oder zu ssh und mehrmals ausfällt.
2. Netzwerkraten-Controller sollten vorhanden sein, wenn Sie eine Cloud-Plattform wie aws, gcp, azure usw. verwenden.