मैं AWS EC2 उदाहरण पर माइनरवेयर मैलवेयर कैसे मार सकता हूं? (समझौता सर्वर)

मुझे अपने ec2 उदाहरण पर मैलवेयर मिला जो लगातार बिटकॉइन का खनन कर रहा था और अपनी आवृत्ति प्रसंस्करण शक्ति का उपयोग कर रहा था। मैंने इस प्रक्रिया को सफलतापूर्वक पहचान लिया, लेकिन इसे हटाने और मारने में असमर्थ था।

मैंने इस कमांड को चलाया यह watch "ps aux | sort -nrk 3,3 | head -n 5" मेरे उदाहरण पर चलने वाली शीर्ष पांच प्रक्रिया को दर्शाता है, जिसमें से मैंने पाया कि एक प्रक्रिया का नाम ' बश ' है जो 30% सीपीयू की खपत कर रहा था। प्रक्रिया है

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

मैंने kill -9 process_idकमांड का उपयोग करके इस प्रक्रिया को मार दिया । 5 सेकंड के बाद, प्रक्रिया फिर से शुरू हुई।

— नदीम अहमद
स्रोत

आप पर्याप्त विवरण नहीं देते हैं (कम से कम कई आज्ञाएँ जो आपने

— आजमाई हैं

"सेवक पशु हैं, पालतू नहीं।" विशेष रूप से वर्चुअल सर्वर जो वास्तव में बनाने और नष्ट करने में आसान हैं । इस एक को फेंक दो (इसे समाप्त करो) और दूसरा बनाएं। या दूसरा बनाएँ, स्विच ऑन करें, और पुराने को इधर-उधर रखें जब आपको पता चले कि मालवेयर वहाँ पर कैसे आया।

— user253751

आपके उदाहरण से समझौता किया गया है, इसे कक्षा से nuke

— njzk2

(इसे पढ़ने वाले किसी अन्य व्यक्ति के लिए नोट करें - "सर्वर मवेशी हैं, पालतू जानवर नहीं" केवल क्लाउड सर्वर पर या समान सर्वरों की एक बड़ी संख्या पर लागू होता है)

— user253751

यह मोनरो खनन कर रहा है, बिटकॉइन नहीं (यदि यह मायने रखता है)

— दिमित्री कुद्रियात्सेव

जवाबों:

यदि आपने सॉफ़्टवेयर को वहां नहीं रखा है और / या यदि आपको लगता है कि आपके क्लाउड की आवृत्ति से छेड़छाड़ की गई है: इसे ऑफ-लाइन लें, इसे हटाएं और इसे खरोंच से पुनर्निर्माण करें (लेकिन पहले नीचे दिए गए लिंक को पढ़ें)। यह अब आपके लिए नहीं है, आप अब इस पर भरोसा नहीं कर सकते ।

मशीन से छेड़छाड़ होने पर क्या करें और कैसे व्यवहार करें, इसके बारे में अधिक जानकारी के लिए सर्वरफॉल्ट पर "एक समझौता किए गए सर्वर से कैसे निपटें" देखें ।

उपरोक्त लिंक की गई सूची के बारे में सोचने और विचार करने के अलावा, इस बात से अवगत रहें कि आप कौन हैं और आप कहां हैं, इस पर निर्भर करते हुए, आपको स्थानीय / केंद्रीय आईटी सुरक्षा को इसकी सूचना देना कानूनी बाध्यता हो सकती है टीम / व्यक्ति आपके संगठन और / या अधिकारियों के भीतर (संभवतः एक निश्चित समय सीमा के भीतर भी)।

स्वीडन में (दिसंबर 2015 से), उदाहरण के लिए, कोई भी राज्य एजेंसी (जैसे विश्वविद्यालय) 24 घंटे के भीतर आईटी से संबंधित घटनाओं की रिपोर्ट करने के लिए बाध्य है। आपके संगठन के पास यह करने के लिए जाने के लिए प्रक्रियाओं के दस्तावेज होंगे।

— कुसलानंद
स्रोत

तथास्तु। मुझे लगता है कि इसे बेहतर या ठीक ढंग से व्यक्त नहीं किया जा सकता है "यह आपके लिए अब और नहीं है"

— रुई एफ रिबेरो

और आपको यह खोजने की आवश्यकता है कि यह पहली जगह में कैसे मिला।

— कगारनिक सिप

यह आदेश bashdरूप में ही है ccminerसे ccminer-cryptonightआपके सिस्टम पर मेरा Monero को programm (वहाँ tuto है: Monero - लिनक्स पर Ccminer-cryptonight GPU खान में काम करनेवाला ), bashdअलियासिंग से या प्रोग्राम के सोर्स कोड को संशोधित करके प्राप्त की है।

क्रिप्टोनाइट मालवेयर: प्रक्रिया को कैसे मारें? (मालवेयर एक्सपर्ट वेबपेज पर मिली जानकारी)

यह फिर से नया मैलवेयर जिसे हम क्रिप्टोनाइट कहते हैं, जो हमने पहले नहीं देखा है। यह निष्पादन योग्य लिनक्स प्रोग्राम डाउनलोड करता है और उस HTTP डेमॉन को पृष्ठभूमि में छिपाता है, जो पहली नज़र में प्रक्रिया सूची को खोजना मुश्किल है।

मैनुअल हटाने की प्रक्रिया

आप खोज कर सकते हैं कि वहाँ चल रही प्रक्रिया httpd, जो क्रिप्टोनाइट पैरामीटर शुरू करें:

ps aux | grep cryptonight

तो बस kill -9 process_idरूट अनुमतियों के साथ; (आप cryptonightनहीं की प्रक्रिया को मारना चाहिए bashd)

सुरक्षित रहने के लिए आपको चाहिए:

अपने सिस्टम को पुनर्स्थापित करें
दूरस्थ हमले की भेद्यता को रोकने के लिए अपने सिस्टम को पैच करें: लिनक्स सर्वर को SambaCulululability के माध्यम से खान क्रिप्टोक्यूरेंसी पर अपहृत किया गया
सीमित आदेशों को चलाने के लिए उपयोगकर्ताओं को प्रतिबंधित करें

— GAD3R
स्रोत