Infezione da virus DDoS (come servizio unix) su un server Web VM Debian 8

Abbiamo subito un'infezione simile su Suse, probabilmente tramite ssh brute force login.

I passaggi per pulire sono:

1. Controlla il file /etc/crontab . Probabilmente hai una voce per chiamare il virus ogni 3 minuti

   */3 * * * * root /etc/cron.hourly/cron.sh
   

   Elimina questa riga.

2. Identificare il processo padre del virus. Il rguoywvrf nel tuo ps -ej . Gli altri processi vengono creati e uccisi continuamente.
3. Fermalo, non ucciderlo, con kill -STOP 1632
4. Controlla con un altro ps -ej che solo il genitore vive, i bambini dovrebbero morire rapidamente
5. Ora puoi eliminare i file in /usr/bin e /etc/init.d . Esistono varianti del virus che utilizzano anche /boot o /bin . Usa ls -lt | head per cercare i file che sono stati modificati di recente.
6. Controlla lo script in /etc/cron.hourly/cron.sh . Nel nostro server stava chiamando un'altra copia del virus su /lib/libgcc.so . Elimina entrambi i file.
7. Ora puoi eliminare definitivamente il rguoywvrf processo.

Per rispondere alle tue domande:

1. Senza le necessarie precauzioni (syslog fuori sede, IDS, monitoraggio dei log, ecc.) probabilmente non scoprirai mai cosa è successo.
2. Dovrei essere d'accordo con Matt. Investirai tempo per far funzionare una macchina di cui non ti fiderai mai veramente. A mio parere, la soluzione migliore è spostare i dati fuori sede e rifare la macchina.

Naturalmente, per quello che vale, questa è solo la mia opinione. Tuttavia, quando rifai la macchina, puoi ovviamente prendere le precauzioni necessarie e proteggerti meglio in futuro.