Intereting Posts

Как я могу убить вредоносное ПО на сервере AWS EC2? (скомпрометированный сервер)

Я обнаружил вредоносное ПО на своем экземпляре ec2, который постоянно добывал биткойн и использовал мою вычислительную мощность для экземпляра. Я успешно идентифицировал этот процесс, но не смог его удалить и убить.

Я запустил эту команду: watch "ps aux | sort -nrk 3,3 | head -n 5" Он показывает пятерку процессов, запущенных на моем экземпляре, из которых я обнаружил, что есть имя процесса « bashd », которое потребляло 30% ЦПУ. Этот процесс

 bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -px 

Я убил этот процесс, используя команду kill -9 process_id . Через 5 секунд процесс снова запустился.

Если вы не поставили программное обеспечение там и / или если вы считаете, что ваш объект облака взломан, выполните его в автономном режиме, удалите его и перестройте с нуля (но сначала прочитайте ссылку ниже). Он больше не принадлежит вам, вы не можете больше доверять ему .

См. «Как бороться с уязвимым сервером» на ServerFault для получения дополнительной информации о том, что делать и как вести себя при сбое машины.

Эта команда bashd такая же, как и ccminer из программы ccminer-cryptonight ccminer ccminer-cryptonight Monero в вашей системе (в Linux используется туто: Monero – Ccminer-cryptonight GPU-шахтер ), bashd получается путем сглаживания или путем изменения исходного кода программы ,

Cryptonight Malware: как убить процесс? (информация найдена на веб-странице эксперта вредоносного ПО)

Это снова новая вредоносная программа, которую мы называем криптонатем, чего мы раньше не видели. Он загружает исполняемую программу Linux и скрывает этот демон http в фоновом режиме, который на первый взгляд трудно найти в списке процессов.

Процесс удаления вручную

Вы можете выполнить поиск, если есть запущенный процесс httpd, который запускает параметр cryptonight:

 ps aux | grep cryptonight 

Затем просто kill -9 process_id с правами root (вы должны убить процесс cryptonight не bashd )

Чтобы быть в безопасности, вы должны:

  1. Переустановите свою систему
  2. Исправьте вашу систему, чтобы предотвратить уязвимость удаленной атаки: Linux-серверы захватили Mine Cryptocurrency через уязвимость SambaCry
  3. Ограничить пользователей для запуска ограниченных команд