12

मेरे पास एक अज्ञात प्रक्रिया है जब मैं दौड़ता हूं top:

यहाँ छवि विवरण दर्ज करें

जब मैं इस प्रक्रिया को मारता हूं तो यह एक और यादृच्छिक नाम के साथ फिर से आ रहा है।
जब मैं rc.d के स्तर और init.d की जाँच करता हूं तो इस तरह के कई यादृच्छिक नाम मिलते हैं और यह एक भी है।
जब मैं निकालने की कोशिश करता हूं या हटाता हूं तो यह फिर से आ रहा है।
जब मैं नेटवर्क केबल में प्लग करता हूं तो यह हमारे पूरे नेटवर्क को लॉक कर देता है।

क्या आपके पास कोई विचार है कि मैं इसे कैसे निकाल सकता हूं?

यह सेवा / प्रक्रिया क्या है?

यह exe फ़ाइल है, जब मैं इसे हटाता हूं, तो यह फिर से आ रही है।

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

जब मैं "netstat -natp" की जांच करता हूं तो एक एस्टैब्लिसमेंट विदेशी पता 98.126.251.114:2828 है। जब मैं iptables में नियम जोड़ने की कोशिश करता हूं, तो यह काम नहीं कर रहा है। लेकिन कोशिश करने के बाद और फिर इस पते को बदलकर 66.102.253.30:2828 पर बदल दें।

ओएस डेबियन Wheeze है

— user1424059
स्रोत

5

संभवतः कुछ बॉटनेट क्लाइंट (आपकी मशीन से समझौता किया गया है)। आपको यह पता लगाना होगा कि यह कैसे शुरू किया जाता है। उपयोगिताएँ इस बात के cruftकाम में आ सकती हैं कि कौन सी फाइलें संकुल से संबंधित नहीं हैं।

— दान

2

ps lआपको दिखाएगा कि मूल प्रक्रिया क्या है। सबसे अधिक संभावना है, यह आपको बताएगा कि यह प्रक्रिया क्या है। आप जो जानकारी चाहते हैं, उसके लिए PPID कॉलम देखें। मुझे इस मैलवेयर को घोषित करने की इतनी जल्दी नहीं होगी।

— krowe

मूल प्रक्रिया की जाँच करने के लिए +1। और अगर फ़ाइल /use/bin/hgmjzjkpxaमौजूद है (इसमें / usr हो सकता है?) यह भी एक लिंक या फिर कोई अन्य दिलचस्प में सूचीबद्ध है ls -la, या के साथ देखा lessया strings?

— Xen2050

कोई अभिभावक प्रक्रिया नहीं है, यह ओडामी प्रक्रिया की तरह लग रही है, एक बात है जब मैं "netstat -natp" की जांच करता हूं तो एक एस्टैब्लिसमेंट होता है विदेशी पता 98.126.251.114:2828 है। जब मैं iptables में नियम जोड़ने की कोशिश करता हूं, तो यह काम नहीं कर रहा है। लेकिन कोशिश करने के बाद और फिर इस पते को बदलकर 66.102.253.30:2828 पर बदल दें। क्या आपके पास इस बारे में कोई विचार है?

— user1424059

15

मुझे इस यादृच्छिक 10 बिट स्ट्रिंग ट्रोजन के बारे में कुछ अनुभव हैं, यह SYN बाढ़ के लिए बहुत सारे पैकेट भेजेगा।

अपने नेटवर्क को काटें

ट्रोजन में कच्ची फाइल आ रही है /lib/libudev.so, यह फिर से कॉपी और कांटा हो जाएगी। यह cron.hourlyनाम की नौकरी भी जोड़ देगा gcc.sh, फिर यह आपके /etc/rc*.d(डेबियन, सेंटोस हो सकता है /etc/rc.d/{init,rc{1,2,3,4,5}}.d) में प्रारंभिक स्क्रिप्ट जोड़ देगा

rootफ़ोल्डर विशेषाधिकारों को बदलने के लिए नीचे दी गई स्क्रिप्ट को चलाने के लिए उपयोग करें :chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
/etc/rc{0,1,2,3,4,5,6,S}.dआज बनाई गई सभी फ़ाइलों को हटा दें , नाम जैसा दिखता है S01????????।
अपना क्रॉस्टैब संपादित करें, अपने में gcc.shस्क्रिप्ट को /etc/cron.hourlyहटाएं, gcc.shफ़ाइल को हटाएं ( /etc/cron.hourly/gcc.sh) फिर अपने कॉन्टैब के लिए विशेषाधिकार जोड़ें:sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab
नवीनतम फ़ाइल परिवर्तनों की जाँच करने के लिए इस कमांड का उपयोग करें: ls -lrt

यदि आपको S01xxxxxxxx(या K8xxxxxxxx) नाम की कोई संदिग्ध फ़ाइल मिलती है , तो उसे हटा दें।

फिर आपको नेटवर्क के बिना रीबूट करना चाहिए।

तब ट्रोजन को साफ किया जाना चाहिए और आप फ़ोल्डर विशेषाधिकारों को मूल मूल्यों ( chattr -i /lib /etc/crontab) में संशोधित कर सकते हैं ।

— rainysia
स्रोत

इस उत्तर के निर्देशों ने मुझे बचा लिया। अपनी उम्र के बावजूद, यह ट्रोजन अभी भी जंगली में लगता है। हालाँकि, चरण 4 में एक त्रुटि है, क्योंकि sed कमांड वास्तव में फ़ाइल को नहीं बदलता है। यह बस संशोधित है, हालांकि

sed '/gcc.sh/d' /etc/crontab > /etc/crontab.fixed && mv /etc/crontab.fixed /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

:। इसके अलावा, @Colin Rosenthal के उत्तर में लिंक के अनुसार, संक्रमण रूट के brute-मजबूर ssh पासवर्ड के माध्यम से है। इसलिए, पुनः आरंभ करने से रोकने के लिए, नेटवर्क को पुनरारंभ करने से पहले रूट पासवर्ड को बदलें या अक्षम करें।

— फ्रेडरिक

chattr -i /libchattr: Operation not supported while reading flags on /libकोई सुराग देता है? Us / lib / usr / lib की ओर इशारा करता है

— गधा

मैं sudo apt install --reinstall libudev1

— donkey

chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr + i / lib / चलाते समय अनुमति अस्वीकृत होने पर भी su और sudo के साथ चलाया गया

— यशवंत कम्बाला

15

इस रूप में XORDDos लिनक्स ट्रोजन चाल जाना जाता है चलाने के लिए है killके साथ -STOPके लिए प्रक्रिया रोकना चाहते हैं तो यह एक नया बना नहीं है।

`kill -STOP PROCESS_ID`

— Algeriassic
स्रोत

महान। यह वही है जो मैं चाह रहा था। रिबूट के बिना आप वास्तव में इस वायरस से छुटकारा नहीं पा सकते हैं यदि यह हमेशा स्मृति में हो। यहां तक कि इसे रोकने के बाद आपको किसी भी फ़ोल्डर को चकमा देने की जरूरत नहीं है - बस फाइलों और लिंक को हटा दें और बस इतना ही।

— ओलेग बोल्डेन

2

मैं आपको एक डॉलर की शर्त लगाता हूँ, यह https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ है । आपके सभी लक्षण बिल्कुल वर्णित हैं।

— कॉलिन रोसेन्थल
स्रोत

0

मेरे लिए दो विकल्प थे:

ट्रोजन के लिए जो फाइलों में गड़बड़ कर रहा है / usr / bin मैंने केवल यही किया है: echo> /lib/libudev.so ट्रोजन को मारें PID
/ बिन के साथ खिलवाड़ करने वाले व्यक्ति के लिए (यहाँ पर हमेशा एक आंशिक गला घोंटना + i / bin के लिए ५-१० प्रक्रियाएँ चल रही थीं और बारिश के बाद बताए गए चरणों का पालन करें

— Zatarra
स्रोत

0

हम भी इसी मुद्दे का सामना करते हैं, हमारे सर्वर भी हैक किए गए हैं और मैंने पाया कि वे brute ने ssh लॉगिन को मजबूर कर दिया और हमारे सिस्टम में succes और इंजेक्ट ट्रोजन मिला।

निम्नलिखित विवरण हैं:

कम / var / लॉग / सुरक्षित | grep 'असफल पासवर्ड' | grep '222.186.15.26' | wc -l 37772 शुरू हुआ

और समय से नीचे पहुंच गया: 222.186.15.26 पोर्ट 65418 ssh2 से रूट के लिए स्वीकृत पासवर्ड

और आईपी स्थान खोजक के अनुसार यह आईपी चीन में कहीं से है।

सुधारात्मक कदम: कृपया दिए गए चरणों का पालन करें: @rainysia

निवारक कदम :

मेरे अनुसार कुछ अधिसूचना प्रबंधन होना चाहिए जब किसी ने आपके सर्वर पर ssh या acces करने की कोशिश की और कई बार विफल हुआ।
यदि आप किसी भी क्लाउड प्लेटफॉर्म जैसे aws, gcp, azure आदि का उपयोग कर रहे हैं, तो नेटवर्क दर नियंत्रक होना चाहिए ...

— साहिल अग्रवाल
स्रोत

1

लेकिन पहले, ssh के माध्यम से रूट एक्सेस को

— रोकें

0

मुझे यह चिकन वायरस मिला है, जब मैंने अपने घर की मशीन से रिमोट एक्सेस से कनेक्ट करने के लिए डिफ़ॉल्ट पोर्ट इन्वर्टर उजागर किए। मेरे मामले में इस साइट ने मेरी मदद की

कदम

1) प्रति घंटा क्रोन के तहत फाइलों की सूची बनाएं। यदि आप किसी भी .sh फ़ाइल को देख सकते हैं, तो कृपया इसे खोलें।

root@vps-# ls -la /etc/cron.hourly/

++++++++++
CT-24007-bash-4.1# ls /etc/cron.hourly/
freshclam  gcc.sh
CT-24007-bash-4.1# 
++++++++++

2) यदि .sh फ़ाइल को नीचे दिखाए गए अनुसार समान डेटा दिखाया जा रहा है, तो यह एक वायरस प्रोग्राम है !!

root@vps-#  cat /etc/cron.hourly/gcc.sh

++++++++++
 cat /etc/cron.hourly/gcc.sh
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {'print $ 1'}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
++++++++++

3) अब, कृपया जल्दी मत करो! शांत और आसान रहें: डी

Gcc.sh को न हटाएं और न ही क्रेस्टब को हटाएं। यदि आप इसे हटाते हैं या हटाते हैं, तो एक और प्रक्रिया तुरंत उत्पन्न होगी। आप या तो अपराधी स्क्रिप्ट को हटा सकते हैं या इसे अक्षम कर सकते हैं। [मैं ग्राहक को प्रमाण दिखाने के लिए इसे निष्क्रिय करना पसंद करता हूं]

root@vps-# rm -f /etc/cron.hourly/gcc.sh;

या

root@vps- #  chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab

4) वायरस या दुर्भावनापूर्ण फ़ाइल (उदाहरण: "mtyxkeaofa") देखने के लिए शीर्ष आदेश का उपयोग करें। PID 16621 है, सीधे प्रोग्राम को न मारें, अन्यथा यह फिर से उत्पादन करेगा, लेकिन इसके संचालन को रोकने के लिए नीचे दिए गए आदेश का उपयोग करें।

root@vps- # kill -STOP 16621

/Etc/init.d के भीतर फ़ाइलें हटाएं। या इसे अक्षम करें [मैं ग्राहक को प्रमाण दिखाने के लिए इसे निष्क्रिय करना पसंद करता हूं]

root@vps-# find /etc -name '* mtyxkeaofa *' | xargs rm -f

या

chmod 0 /usr/bin/mtyxkeaofa; 
chmod 0 /etc/init.d/mtyxkeaofa; 
chattr +ia /usr/bin/mtyxkeaofa; 
chattr +ia /etc/init.d/mtyxkeaofa;

6) अभिलेखागार के अंदर / usr / बिन हटाएं।

root@vps-# rm -f /usr/bin/mtyxkeaofa;

7) हाल के परिवर्तनों की जाँच / usr / bin अभिलेखागार, वायरस को भी हटाया जा सकता है यदि अन्य संदिग्ध समान निर्देशिका है।

root@vps-# ls -lt /usr/bin | head

8) अब दुर्भावनापूर्ण प्रोग्राम को मारें, यह उत्पादन नहीं करेगा।

root@vps-# pkill mtyxkeaofa

9) वायरस शरीर को हटा दें।

root@vps-# rm -f /lib/libudev.so

इस ट्रोजन को चाइनीज चिकन मल्टीप्लेटफार्म DoS बॉटनेट ट्रोजन, यूनिक्स - ट्रोजन.डॉ.सो_एक्सओआर -1, एंबेडेड रूटकिट के रूप में भी जाना जाता है।

नोट: यदि आप .sh फ़ाइल को खोजने में असमर्थ हैं, तो आप क्लैमव, आरकेहंटर स्थापित कर सकते हैं और संदिग्ध / दुर्भावनापूर्ण खोजने के लिए लॉग / रिपोर्ट की जांच कर सकते हैं

वास्तविक साइट के लिए लिंक

https://admin-ahead.com/forum/server-security-hardening/unix-trojan-ddos_xor-1-chinese-chicken-multiplatform-dos-botnets-trojan/

— यशवंत कंबाला
स्रोत

2

हालांकि यह लिंक प्रश्न का उत्तर दे सकता है, लेकिन उत्तर के आवश्यक भागों को यहां शामिल करना और संदर्भ के लिए लिंक प्रदान करना बेहतर है। लिंक-केवल उत्तर अमान्य हो सकते हैं यदि लिंक किए गए पृष्ठ बदल जाते हैं। - रिव्यू से

— कैलेडीराज

यहीं अपडेट करेंगे

— यशवंत कंबाला

यादृच्छिक कमांड के साथ अज्ञात लिनक्स प्रक्रिया

कदम

/Etc/init.d के भीतर फ़ाइलें हटाएं। या इसे अक्षम करें [मैं ग्राहक को प्रमाण दिखाने के लिए इसे निष्क्रिय करना पसंद करता हूं]

वास्तविक साइट के लिए लिंक