Как я могу убить вредоносное ПО на сервере AWS EC2? (скомпрометированный сервер)

Я обнаружил вредоносное ПО на своем экземпляре ec2, который постоянно добывал биткойн и использовал мою вычислительную мощность для экземпляра. Я успешно идентифицировал этот процесс, но не смог его удалить и убить.

Я запустил эту команду: watch "ps aux | sort -nrk 3,3 | head -n 5" Он показывает пятерку процессов, запущенных на моем экземпляре, из которых я обнаружил, что есть имя процесса « bashd », которое потребляло 30% ЦПУ. Этот процесс

 bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -px 

Я убил этот процесс, используя команду kill -9 process_id . Через 5 секунд процесс снова запустился.

2 Solutions collect form web for “Как я могу убить вредоносное ПО на сервере AWS EC2? (скомпрометированный сервер)”

Если вы не поставили программное обеспечение там и / или если вы считаете, что ваш объект облака взломан, выполните его в автономном режиме, удалите его и перестройте с нуля (но сначала прочитайте ссылку ниже). Он больше не принадлежит вам, вы не можете больше доверять ему .

См. «Как бороться с уязвимым сервером» на ServerFault для получения дополнительной информации о том, что делать и как вести себя при сбое машины.

Эта команда bashd такая же, как и ccminer из программы ccminer-cryptonight ccminer ccminer-cryptonight Monero в вашей системе (в Linux используется туто: Monero – Ccminer-cryptonight GPU-шахтер ), bashd получается путем сглаживания или путем изменения исходного кода программы ,

Cryptonight Malware: как убить процесс? (информация найдена на веб-странице эксперта вредоносного ПО)

Это снова новая вредоносная программа, которую мы называем криптонатем, чего мы раньше не видели. Он загружает исполняемую программу Linux и скрывает этот демон http в фоновом режиме, который на первый взгляд трудно найти в списке процессов.

Процесс удаления вручную

Вы можете выполнить поиск, если есть запущенный процесс httpd, который запускает параметр cryptonight:

 ps aux | grep cryptonight 

Затем просто kill -9 process_id с правами root (вы должны убить процесс cryptonight не bashd )

Чтобы быть в безопасности, вы должны:

  1. Переустановите свою систему
  2. Исправьте вашу систему, чтобы предотвратить уязвимость удаленной атаки: Linux-серверы захватили Mine Cryptocurrency через уязвимость SambaCry
  3. Ограничить пользователей для запуска ограниченных команд
  • Отправка сигнала в родительский процесс
  • Как убить процесс после отсоединения его от bash?
  • Декодировать флаги для команды Kill
  • Приложение в терминале все еще работает, но не доступно напрямую
  • Как я могу быстро убить процесс CPU / IO?
  • Процесс непрерывного резервного копирования на Solaris
  • Как закрыть терминал, не убивая его детей (без запуска `screen`)?
  • Висячий процесс нельзя убить даже с помощью kill -9 -1
  • Использование `kill -s 0 $ pid` vs` ] `, чтобы определить, работает ли PID
  • Запускать процесс только для специального / выделенного pid
  • Как я могу убить процесс, выполняющийся на определенном IP-адресе и порту?
  • Interesting Posts

    приостановка сценария bash до тех пор, пока не будут выполнены предыдущие команды

    Linux Fedora: могу ли я сохранить то, что я делаю, чтобы все было восстановлено, когда я снова включился

    Как выполнить команду в заданной строке в каждой строке файла?

    Как автоматически обновлять каталог верхнего содержания

    Отключите Raspbian MAC-объявление (nmap)

    обнаружение и исправление бит-бит с помощью mdadm

    Есть ли простой надежный способ перевода команд из Ubuntu в Debian и наоборот?

    Как исправить 1/4 левого столбца, который не отображается в диспетчере шрифтов?

    Процессор является бесплатным, но скрипт bash не использует все ресурсы ЦП

    Возможно ли сделать scp сбоем, когда вы делаете локальную копию?

    Как разбить текстовый файл на несколько текстовых файлов с помощью Perl?

    Отображать и редактировать строки, соответствующие конкретному шаблону в vi

    bash $ (printf "% s \ n") не создает многострочный

    Почему «ls -L» печатает имя самой ссылки, а не имя файла, на который указывает ссылка?

    Беспроводной многофункциональный сканер / принтер

    Linux и Unix - лучшая ОС в мире.