BEARBEITEN 2 :
Es gibt einen guten Grund, warum dieser Beitrag so viel Aufmerksamkeit erregt:Sie haben es geschafft, die gesamte Live-Sitzung eines Eindringlings auf Ihrem PC aufzuzeichnen. Das unterscheidet sich stark von unserer alltäglichen Erfahrung, wo wir uns mit der Entdeckung der Folgen seines Handelns befassen und versuchen, sie wiedergutzumachen. Hier sehen wir ihn bei der Arbeit, sehen, wie er einige Probleme mit der Einrichtung der Hintertür hat, seine Schritte zurückverfolgt, fieberhaft arbeitet (vielleicht, weil er an Ihrem Schreibtisch saß, wie oben angedeutet, oder vielleicht, und meiner Meinung nach, weil er es war nicht in der Lage ist, seine Malware auf dem System zum Laufen zu bringen, lesen Sie weiter unten) und versuchen, vollständig in sich geschlossene Kontrollinstrumente einzusetzen. Das erleben Sicherheitsforscher täglich mit ihren Honigfallen . Für mich ist dies eine sehr seltene Gelegenheit und die Quelle einiger Belustigung.
Du wurdest definitiv gehackt. Der Beweis dafür ist nicht stammen aus dem Snippet von auth.log
Datei, die Sie angezeigt haben, da diese einen erfolglosen Anmeldeversuch meldet, der über eine kurze Zeitspanne (zwei Sekunden) erfolgt. Sie werden feststellen, dass in der zweiten Zeile Failed password
steht , während der dritte einen pre-auth
meldet trennen:der Typ hat es versucht und ist gescheitert.
Der Beweis kommt stattdessen aus dem Inhalt der beiden Dateien http://222.186.30.209:65534/yjz
und http://222.186.30.209:65534/yjz1
die der Angreifer auf Ihr System heruntergeladen hat.
Die Seite ist derzeit für jedermann offen, um sie herunterzuladen, was ich auch getan habe. Ich habe zuerst file
ausgeführt auf ihnen, die zeigten:
$ file y*
yjz: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
yjz1: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
Dann brachte ich sie auf eine 64-Bit-Debian-VM, die ich habe; eine Prüfung ihres Inhalts durch den strings
command viel Verdächtiges aufgedeckt (Hinweis auf diverse bekannte Attacken, auf zu ersetzende Befehle, ein Skript, das eindeutig zum Aufsetzen eines neuen Dienstes verwendet wurde, und so weiter).
Dann erstellte ich die MD5-Hashes beider Dateien und speiste sie in die Hash-Datenbank von Cymru ein, um zu sehen, ob sie bekannte Agenten von Malware sind. Während yjz
ist nicht, yjz1
ist, und Cymru meldet eine Erkennungswahrscheinlichkeit durch Antivirensoftware von 58 %. Es wird auch angegeben, dass diese Datei zuletzt vor etwa drei Tagen gesehen wurde, also relativ neu ist.
Ausführen von clamscan (Teil des clamav
Paket) auf den beiden Dateien, die ich erhalten habe:
$ clamscan y*
yjz: Linux.Backdoor.Gates FOUND
yjz1: Linux.Trojan.Xorddos FOUND
Daher sind wir jetzt sicher, dass Standard-Linux-Software es erkennen kann.
Was sollten Sie tun?
Obwohl ziemlich neu, ist keines der beiden Systeme sehr neu, siehe zum Beispiel diesen Artikel vom Januar 2015 über XorDdos. Daher sollten die meisten kostenlosen Pakete in der Lage sein, es zu entfernen. Sie sollten es versuchen:clamav
, rkhunter
, chkrootkit
. Ich habe herumgegoogelt und gesehen, dass sie behaupten, es erkennen zu können. Verwenden Sie sie, um die Arbeit des Vorgängers zu überprüfen, aber nachdem Sie diese drei Programme ausgeführt haben, sollten Sie startklar sein.
Was die größere Frage betrifft, what should you do to prevent future infections
, Journeymans Antwort ist ein guter erster Schritt. Denken Sie nur daran, dass es sich um einen andauernden Kampf handelt, einen, den wir alle (einschließlich mir!) sehr gut verloren haben können, ohne es überhaupt zu wissen.
BEARBEITEN :
Auf Viktor Toths (indirekte) Aufforderung hin möchte ich noch ein paar Anmerkungen machen. Es ist sicherlich richtig, dass der Eindringling auf einige Schwierigkeiten gestoßen ist:Er lädt zwei verschiedene Hacking-Tools herunter, ändert mehrmals ihre Berechtigungen, startet sie mehrmals neu und versucht viele Male, die Firewall zu deaktivieren. Es ist leicht zu erraten, was passiert:Er erwartet, dass seine Hacking-Tools einen Kommunikationskanal zu einem seiner infizierten PCs öffnen (siehe später), und wenn er diesen neuen Kanal nicht auf seiner Kontroll-GUI auftauchen sieht, fürchtet er, dass er hackt Tool von der Firewall blockiert wird, wiederholt er den Installationsvorgang. Ich stimme Viktor Toth zu, dass diese spezielle Phase seiner Operation nicht die erwarteten Früchte zu tragen scheint, aber ich möchte Sie sehr stark ermutigen das Ausmaß des Schadens, der Ihrem PC zugefügt wird, nicht zu unterschätzen.
Ich stelle hier eine Teilausgabe von strings yjz1
bereit :
etc/init.d/%s
/etc/rc%d.d/S90%s
--del
chkconfig
remove
update-rc.d
/etc/cron.hourly/gcc4.sh
/etc/rc.d/rc%d.d/S90%s
--add
defaults
/proc/%d/exe
/proc/self/exe
HOME=/
MYSQL_HISTFILE=/dev/null
#!/bin/sh
# chkconfig: 12345 90 90
# description: %s
### BEGIN INIT INFO
# Provides: %s
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: %s
### END INIT INFO
case $1 in
start)
stop)
esac
sed -i '/\/etc\/cron.hourly\/gcc4.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc4.sh' >> /etc/crontab
etc/init.d/%s
GET %s HTTP/1.1
%sHost: %s
POST %s HTTP/1.1
%sHost: %s
Content-Type: application/x-www-form-urlencoded
Content-Length: %d
%s%s
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)
Connection: Keep-Alive
Dies liefert Hinweise auf Manipulationen an den Diensten (in /etc/init.d
und in /etc/rc.d
), mit crontab
, mit der Verlaufsdatei von mysql
, und ein paar Dateien in proc
das sind Links zu bash
(was darauf hindeutet, dass eine maßgeschneiderte betrügerische Version Ihrer Muschel gepflanzt wurde). Dann generiert das Programm eine HTTP-Anfrage (an eine chinesischsprachige Seite,
Accept-Language: zh-cn
was dem obigen Kommentar von David Schwartz Substanz verleiht), was noch mehr Chaos anrichten kann. In der Anfrage werden Binärdateien (Content-Type: application/x-www-form-urlencoded
) müssen auf den angegriffenen PC heruntergeladen (GET) und auf die steuernde Maschine hochgeladen werden (POST). Ich konnte nicht feststellen, was auf den angegriffenen PC heruntergeladen würde, aber angesichts der geringen Größe von beiden yjz
und yjz1
(jeweils 1,1 MB und 600 kB) kann ich vermuten, dass die meisten Dateien, die zum Tarnen des Rootkits benötigt werden, d.h. die geänderten Versionen von ls
, netstat
, ps
, ifconfig
,..., würde auf diese Weise heruntergeladen werden. Und das würde die fieberhaften Versuche der Angreifer erklären, diesen Download in Gang zu bringen.
Es besteht keine Gewissheit, dass das Obige alle Möglichkeiten erschöpft:Uns fehlt sicherlich ein Teil des Transkripts (zwischen Zeile 457 und 481) und wir sehen kein Logout; außerdem sind die Zeilen 495-497,
besonders besorgniserregendcd /tmp; ./yd_cd/make
die sich auf eine Datei beziehen, die wir nicht heruntergeladen gesehen haben, und die vielleicht B. eine Zusammenstellung sein:Wenn ja, bedeutet dies, dass der Angreifer (endlich?) verstanden hat, was das Problem mit seinen ausführbaren Dateien war, und versucht, es zu beheben. In diesem Fall ist der angegriffene PC endgültig verschwunden. [Tatsächlich sind die beiden Versionen der Malware, die der Angreifer auf die gehackte Maschine (und ich auf meine 64-Bit-Debian-VM) heruntergeladen hat, für eine ungeeignete Architektur, x86, während allein der Name des gehackten PCs die Tatsache verrät er beschäftigte sich mit einer Armarchitektur].
Der Grund, warum ich diese Bearbeitung geschrieben habe, ist, Sie so stark wie möglich zu drängen, entweder Ihr System mit einem professionellen Instrument zu kämmen oder von Grund auf neu zu installieren.
Übrigens, falls sich das für jemanden als nützlich erweisen sollte, ist dies die Liste der 331 IP-Adressen, an die yjz
versucht sich zu verbinden. Diese Liste ist so umfangreich (und wahrscheinlich dazu bestimmt, noch größer zu werden), dass ich glaube, dass dies der Grund für die Manipulation von mysql
ist . Die Liste, die von der anderen Hintertür bereitgestellt wird, ist identisch, was meiner Meinung nach der Grund dafür ist, eine so wichtige Information offen zu lassen (ich denke der Angreifer wollte sich nicht die Mühe machen, sie im Kernel-Format zu speichern, also legte er die gesamte Liste in eine Klartextdatei, die wahrscheinlich von allen seinen Backdoors eingelesen wird, für welches Betriebssystem):
61.132.163.68
202.102.192.68
202.102.213.68
202.102.200.101
58.242.2.2
202.38.64.1
211.91.88.129
211.138.180.2
218.104.78.2
202.102.199.68
202.175.3.3
202.175.3.8
202.112.144.30
61.233.9.9
61.233.9.61
124.207.160.110
202.97.7.6
202.97.7.17
202.106.0.20
202.106.46.151
202.106.195.68
202.106.196.115
202.106.196.212
202.106.196.228
202.106.196.230
202.106.196.232
202.106.196.237
202.112.112.10
211.136.17.107
211.136.28.231
211.136.28.234
211.136.28.237
211.147.6.3
219.141.136.10
219.141.140.10
219.141.148.37
219.141.148.39
219.239.26.42
221.130.32.100
221.130.32.103
221.130.32.106
221.130.32.109
221.130.33.52
221.130.33.60
221.176.3.70
221.176.3.73
221.176.3.76
221.176.3.79
221.176.3.83
221.176.3.85
221.176.4.6
221.176.4.9
221.176.4.12
221.176.4.15
221.176.4.18
221.176.4.21
58.22.96.66
218.104.128.106
202.101.98.55
211.138.145.194
211.138.151.161
211.138.156.66
218.85.152.99
218.85.157.99
222.47.29.93
202.101.107.85
119.233.255.228
222.47.62.142
122.72.33.240
211.98.121.27
218.203.160.194
221.7.34.10
61.235.70.98
113.111.211.22
202.96.128.68
202.96.128.86
202.96.128.166
210.21.3.140
210.21.4.130
211.95.193.97
211.98.2.4
211.98.4.1
211.162.61.225
211.162.61.235
211.162.61.255
211.162.62.1
211.162.62.60
221.4.66.66
202.103.176.22
202.96.144.47
210.38.192.33
202.96.134.33
202.96.134.133
202.96.154.15
210.21.196.6
221.5.88.88
202.103.243.112
202.193.64.33
61.235.164.13
61.235.164.18
202.103.225.68
221.7.136.68
202.103.224.68
211.97.64.129
211.138.240.100
211.138.242.18
211.138.245.180
221.7.128.68
222.52.118.162
202.98.192.67
202.98.198.167
211.92.136.81
211.139.1.3
211.139.2.18
202.100.192.68
211.97.96.65
211.138.164.6
221.11.132.2
202.100.199.8
202.99.160.68
202.99.166.4
202.99.168.8
222.222.222.222
202.102.224.68
202.102.227.68
222.85.85.85
222.88.88.88
210.42.241.1
202.196.64.1
112.100.100.100
202.97.224.68
219.235.127.1
61.236.93.33
211.93.24.129
211.137.241.34
219.147.198.230
202.103.0.68
202.103.0.117
202.103.24.68
202.103.44.150
202.114.0.242
202.114.240.6
211.161.158.11
211.161.159.3
218.104.111.114
218.104.111.122
218.106.127.114
218.106.127.122
221.232.129.30
59.51.78.210
61.234.254.5
202.103.96.112
219.72.225.253
222.243.129.81
222.246.129.80
211.142.210.98
211.142.210.100
220.168.208.3
220.168.208.6
220.170.64.68
218.76.192.100
61.187.98.3
61.187.98.6
202.98.0.68
211.93.64.129
211.141.16.99
202.98.5.68
219.149.194.55
211.138.200.69
202.102.3.141
202.102.3.144
58.240.57.33
112.4.0.55
114.114.114.114
114.114.115.115
202.102.24.34
218.2.135.1
221.6.4.66
221.131.143.69
202.102.8.141
222.45.0.110
61.177.7.1
218.104.32.106
211.103.13.101
221.228.255.1
61.147.37.1
222.45.1.40
58.241.208.46
202.102.9.141
202.102.7.90
202.101.224.68
202.101.226.68
211.141.90.68
211.137.32.178
202.96.69.38
211.140.197.58
219.149.6.99
202.96.86.18
101.47.189.10
101.47.189.18
118.29.249.50
118.29.249.54
202.96.64.68
202.96.75.68
202.118.1.29
202.118.1.53
219.148.204.66
202.99.224.8
202.99.224.67
211.90.72.65
211.138.91.1
218.203.101.3
202.100.96.68
211.93.0.81
222.75.152.129
211.138.75.123
202.102.154.3
202.102.152.3
219.146.1.66
219.147.1.66
202.102.128.68
202.102.134.68
211.138.106.19
211.90.80.65
202.99.192.66
202.99.192.68
61.134.1.4
202.117.96.5
202.117.96.10
218.30.19.40
218.30.19.50
116.228.111.118
180.168.255.18
202.96.209.5
202.96.209.133
202.101.6.2
211.95.1.97
211.95.72.1
211.136.112.50
211.136.150.66
119.6.6.6
124.161.97.234
124.161.97.238
124.161.97.242
61.139.2.69
202.98.96.68
202.115.32.36
202.115.32.39
218.6.200.139
218.89.0.124
61.139.54.66
61.139.39.73
139.175.10.20
139.175.55.244
139.175.150.20
139.175.252.16
168.95.1.1
210.200.211.193
210.200.211.225
211.78.130.1
61.31.1.1
61.31.233.1
168.95.192.1
168.95.192.174
61.60.224.3
61.60.224.5
202.113.16.10
202.113.16.11
202.99.96.68
202.99.104.68
211.137.160.5
211.137.160.185
219.150.32.132
202.98.224.68
211.139.73.34
61.10.0.130
61.10.1.130
202.14.67.4
202.14.67.14
202.45.84.58
202.45.84.67
202.60.252.8
202.85.128.32
203.80.96.9
203.142.100.18
203.142.100.21
203.186.94.20
203.186.94.241
221.7.1.20
61.128.114.133
61.128.114.166
218.202.152.130
61.166.150.123
202.203.128.33
211.98.72.7
211.139.29.68
211.139.29.150
211.139.29.170
221.3.131.11
222.172.200.68
61.166.150.101
61.166.150.139
202.203.144.33
202.203.160.33
202.203.192.33
202.203.208.33
202.203.224.33
211.92.144.161
222.221.5.240
61.166.25.129
202.96.103.36
221.12.1.227
221.130.252.200
222.46.120.5
202.96.96.68
218.108.248.219
218.108.248.245
61.130.254.34
60.191.244.5
202.96.104.15
202.96.104.26
221.12.33.227
202.96.107.27
61.128.128.68
61.128.192.68
218.201.17.2
221.5.203.86
221.5.203.90
221.5.203.98
221.7.92.86
221.7.92.98
Der folgende Code
#!/bin/bash
echo 0 > out
while read i; do
whois $i | grep -m 1 -i country >> out
done < filename
cat out | grep -i cn | wc -l
in der obigen Liste zeigt, dass 302 von insgesamt 331 Adressen befinden sich auf dem chinesischen Festland, die restlichen in Hongkong, der Mongolei und Taiwan. Dies unterstützt die Behauptung von David Schwartz, dass dies hauptsächlich ein chinesischer Bot-Ring ist, weiter.
BEARBEITEN 3
Auf Wunsch von @vaid (der Autor des OP, lesen Sie seinen Kommentar unten) werde ich einen Kommentar dazu hinzufügen, wie die Sicherheit eines einfachen Linux-Systems erhöht werden kann (für ein System, das viele Dienste bereitstellt, ist dies ein weitaus komplexeres Thema). vaid
gibt an, dass er Folgendes getan hat:
-
Installieren Sie das System neu
-
Root-Passwort in ein 16 Zeichen langes Passwort mit gemischten Klein- und Großbuchstaben und Zeichen und Ziffern geändert.
-
Der Benutzername wurde in einen Benutzernamen mit 6 gemischten Zeichen geändert und dasselbe Passwort wie für root verwendet
-
SSH-Port auf etwas über 5000 geändert
-
SSH-Root-Anmeldung deaktiviert.
Das ist in Ordnung (außer ich verwende einen Port über 10.000, da viele nützliche Programme die Ports unter 10.000 verwenden). Aber ich kann die Notwendigkeit, kryptografische Schlüssel für die SSH-Anmeldung zu verwenden, nicht genug betonen , anstelle von Passwörtern. Ich gebe Ihnen ein persönliches Beispiel. Bei einem meiner VPS war ich mir nicht sicher, ob ich den ssh-Port ändern sollte; Ich habe es bei 22 belassen, aber Kryptoschlüssel zur Authentifizierung verwendet. Ich hatte Hunderte Einbruchsversuche pro Tag , keinem gelang es. Als ich müde war, täglich zu überprüfen, ob es niemandem gelungen war, schaltete ich schließlich den Port auf etwas über 10.000, Einbruchsversuche gingen auf Null. Wohlgemerkt, es ist nicht so, dass Hacker dumm sind (sie sind es nicht!), sie jagen nur leichtere Beute.
Es ist einfach, einen Kryptoschlüssel mit RSA als Signaturalgorithmus zu aktivieren, siehe Kommentar unten von Jan Hudec (danke!):
cd; mkdir .ssh; chmod 700 .ssh; cd .ssh; ssh-keygen -t rsa (then hit <kbd>ENTER>/kbd> three times); cat id_rsa.pub >> authorized_keys; chmod 600 *
Jetzt müssen Sie nur noch die Datei id_rsa
kopieren zu der Maschine, von der aus Sie sich verbinden möchten (in einem Verzeichnis .ssh
, auch chmod
'ed auf 700), dann geben Sie den Befehl
ssh -p YourChosenNonStandardPort -i ~/.ssh/id_rsa [email protected]
Wenn Sie sicher sind, dass dies funktioniert, bearbeiten Sie auf dem Server (=der Maschine, zu der Sie sich verbinden möchten) die Datei /etc/ssh/sshd_config
, und ändern Sie die Zeile
#PasswordAuthentication yes
zu
PasswordAuthentication no
und starten Sie ssh
neu Dienst (service ssh restart
oder systemctl restart ssh
, oder so ähnlich, je nach Distribution).
Das hält einiges aus. Tatsächlich sind derzeit keine Exploits gegen die aktuellen Versionen von openssh v2
bekannt , und von RSA, wie es von openssh v2
verwendet wird .
Um Ihren Rechner wirklich abzusichern, müssen Sie schließlich die Firewall (netfilter/iptables) wie folgt konfigurieren:
iptables -A INPUT -p tcp --dport YourChosenNonStandardPort -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Dies 1) erlaubt ssh-Verbindungen sowohl von LAN als auch WAN, 2) erlaubt alle Eingaben, die von Ihren Anfragen stammen (z. B. wenn Sie eine Webseite laden), 3) lässt alles andere auf der Eingabe fallen, 4) lässt alles zu die Ausgabe und 5-6) erlaubt alles auf der Loopback-Schnittstelle.
Wenn Ihre Anforderungen wachsen und mehr Ports geöffnet werden müssen, können Sie dies tun, indem Sie oben in der Liste Regeln hinzufügen wie:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
um beispielsweise Personen den Zugriff auf Ihren Webbrowser zu ermöglichen.
Willkommen im Internet - wo jeder offene SSH-Server wahrscheinlich untersucht, brutal erzwungen und verschiedenen Demütigungen ausgesetzt wird.
Zu Beginn müssen Sie den Speicher auf dem Produkt vollständig löschen. Stellen Sie es sich vor, wenn Sie es für die Forensik weitergeben möchten, aber die Linux-Installation darauf jetzt verdächtig ist.
Etwas Vermutung, aber
-
Du wurdest brutal erzwungen oder Verwenden Sie ein gemeinsames Passwort. Es ist Sicherheit durch Verschleierung, aber Sie wollen kein Wörterbuchpasswort oder um ein für SSH offenes Root-Konto zu verwenden. Deaktivieren Sie den Root-SSH-Zugriff, wenn dies eine Option ist, oder ändern Sie zumindest den Namen, damit sie beide erraten müssen. SSHing als Root ist sowieso eine schreckliche Sicherheitspraxis. Wenn Sie root verwenden müssen, melden Sie sich als anderer Benutzer an und wechseln Sie mit su oder sudo.
-
Je nach Produkt möchten Sie möglicherweise den SSH-Zugriff auf irgendeine Weise sperren. Eine vollständige Sperrung klingt nach einer guten Idee und ermöglicht Benutzern, sie nach Bedarf zu öffnen . Je nachdem, welche Ressourcen Sie entbehren können, sollten Sie erwägen, nur IP-Adressen in Ihrem eigenen Subnetz oder eine Art Login-Drosselsystem zuzulassen. Wenn Sie es auf dem Endprodukt nicht benötigen, stellen Sie sicher, dass es ausgeschaltet ist.
-
Verwenden Sie einen Nicht-Standard-Port. Sicherheit durch Verschleierung, aber das bedeutet, dass ein Angreifer Ihren Port angreifen muss.
-
Verwenden Sie niemals ein Standardkennwort. Der beste Ansatz, den ich gesehen habe, besteht darin, zufällig ein Passwort für ein bestimmtes Gerät zu generieren und es mit Ihrem Produkt zu versenden. Best Practice ist die schlüsselbasierte Authentifizierung, aber ich habe keine Ahnung, wie Sie das bei einem Massenmarktprodukt angehen würden.
Oh, du wurdest definitiv gehackt. Jemand scheint in der Lage gewesen zu sein, Root-Anmeldeinformationen zu erhalten, und hat versucht, einen Trojaner auf Ihr System herunterzuladen. MariusMatutiae lieferte eine Analyse der Nutzlast.
Es stellen sich zwei Fragen:a) War der Angreifer erfolgreich? Und b) was können Sie dagegen tun?
Die Antwort auf die erste Frage kann ein Nein sein. Beachten Sie, wie der Angreifer wiederholt versucht, die Payload herunterzuladen und auszuführen, anscheinend ohne Erfolg. Ich vermute, dass ihm etwas (SELinux, vielleicht?) im Weg stand.
ABER:Der Angreifer hat auch Ihren /etc/rc.d/rc.local
verändert Datei, in der Hoffnung, dass beim Neustart Ihres Systems die Payload aktiviert wird. Wenn Sie das System noch nicht neu gestartet haben, führen Sie keinen Neustart durch, bis Sie diese Änderungen aus /etc/rc.d/rc.local
entfernt haben . Wenn Sie es bereits neu gestartet haben ... nun, Pech gehabt.
Was Sie dagegen tun können:Am sichersten ist es, das System zu löschen und von Grund auf neu zu installieren. Dies ist jedoch möglicherweise nicht immer eine Option. Wesentlich weniger sicher ist es, genau zu analysieren, was passiert ist, und jede Spur davon zu verwischen, wenn Sie können. Nochmals, wenn Sie das System noch nicht neu gestartet haben, brauchen Sie vielleicht nur /etc/rc.d/rc.local
zu bereinigen , entfernen Sie alles, was der Angreifer heruntergeladen hat, und ändern Sie zu guter Letzt das verdammte Passwort!
Wenn der Angreifer die Payload jedoch bereits ausführen konnte, sind möglicherweise andere Änderungen an Ihrem System vorhanden, die möglicherweise schwer zu erkennen sind. Aus diesem Grund ist ein vollständiges Löschen wirklich die einzig sichere (und empfohlene) Option. Wie Sie bereits angedeutet haben, kann es sich bei dem fraglichen Gerät um ein Test-/Entwicklungsziel handeln, sodass das Löschen möglicherweise nicht so schmerzhaft ist wie in anderen Fällen.
Aktualisieren :Ungeachtet dessen, was ich über eine mögliche Genesung geschrieben habe, möchte ich MariusMatutiaes sehr stark wiederholen Empfehlung, den potenziellen Schaden, der durch diese Payload verursacht wird, und das Ausmaß, in dem sie das Zielsystem möglicherweise kompromittiert haben, nicht zu unterschätzen.