Abbiamo subito un'infezione simile su Suse, probabilmente tramite ssh brute force login.
I passaggi per pulire sono:
-
Controlla il file
/etc/crontab
. Probabilmente hai una voce per chiamare il virus ogni 3 minuti*/3 * * * * root /etc/cron.hourly/cron.sh
Elimina questa riga.
- Identificare il processo padre del virus. Il
rguoywvrf
nel tuops -ej
. Gli altri processi vengono creati e uccisi continuamente. - Fermalo, non ucciderlo, con
kill -STOP 1632
- Controlla con un altro
ps -ej
che solo il genitore vive, i bambini dovrebbero morire rapidamente - Ora puoi eliminare i file in
/usr/bin
e/etc/init.d
. Esistono varianti del virus che utilizzano anche/boot
o/bin
. Usals -lt | head
per cercare i file che sono stati modificati di recente. - Controlla lo script in
/etc/cron.hourly/cron.sh
. Nel nostro server stava chiamando un'altra copia del virus su/lib/libgcc.so
. Elimina entrambi i file. - Ora puoi eliminare definitivamente il
rguoywvrf
processo.
Per rispondere alle tue domande:
- Senza le necessarie precauzioni (syslog fuori sede, IDS, monitoraggio dei log, ecc.) probabilmente non scoprirai mai cosa è successo.
- Dovrei essere d'accordo con Matt. Investirai tempo per far funzionare una macchina di cui non ti fiderai mai veramente. A mio parere, la soluzione migliore è spostare i dati fuori sede e rifare la macchina.
Naturalmente, per quello che vale, questa è solo la mia opinione. Tuttavia, quando rifai la macchina, puoi ovviamente prendere le precauzioni necessarie e proteggerti meglio in futuro.