DDoS-Virusinfektion (als Unix-Dienst) auf einem Debian 8 VM-Webserver

Wir haben eine ähnliche Infektion auf Suse erlitten, wahrscheinlich durch ssh-Brute-Force-Login.

Die zu bereinigenden Schritte sind:

1. Überprüfen Sie die Datei /etc/crontab . Sie haben wahrscheinlich einen Eintrag, um den Virus alle 3 Minuten aufzurufen

   */3 * * * * root /etc/cron.hourly/cron.sh
   

   Diese Zeile löschen.

2. Identifizieren Sie den übergeordneten Prozess des Virus. Die rguoywvrf in Ihrem ps -ej . Die anderen Prozesse werden fortlaufend erstellt und beendet.
3. Stopp es, töte es nicht, mit kill -STOP 1632
4. Prüfen Sie mit einem anderen ps -ej dass nur die Eltern leben, die Kinder sollen schnell sterben
5. Jetzt können Sie die Dateien in /usr/bin löschen und /etc/init.d . Es gibt Varianten des Virus, die ebenfalls /boot verwenden oder /bin . Verwenden Sie ls -lt | head um nach Dateien zu suchen, die kürzlich geändert wurden.
6. Prüfen Sie das Skript in /etc/cron.hourly/cron.sh . Auf unserem Server rief er eine weitere Kopie des Virus unter /lib/libgcc.so auf . Beide Dateien löschen.
7. Jetzt kannst du definitiv die rguoywvrf töten verarbeiten.

Um Ihre Fragen zu beantworten:

1. Ohne die notwendigen Vorsichtsmaßnahmen (externes Syslog, IDS, Protokollüberwachung usw.) werden Sie wahrscheinlich nie herausfinden, was passiert ist.
2. Da muss ich Matt zustimmen. Sie werden Zeit investieren, um eine Maschine zum Laufen zu bringen, der Sie nie wirklich vertrauen werden. Meiner Meinung nach besteht die beste Lösung darin, die Daten vom Standort zu verschieben und die Maschine neu zu konfigurieren.

Natürlich ist dies nur meine Meinung, was es wert ist. Allerdings können Sie bei einem Umbau der Maschine natürlich die notwendigen Vorkehrungen treffen &sich in Zukunft besser schützen.