Processo desconhecido do Linux com comando aleatório

Navegue suas respostas
10

Eu tenho um processo desconhecido quando executo top :

  • Quandoeumatooprocesso,elevemnovamentecomoutronomealeatório.
  • quandoeuverificoosníveisrc.deinit.d,hámuitosnomesaleatóriossemelhantesaesteeestetambémestálá.
  • quandoeutentoremoveroapt-itoualgomaisestávindodenovo.
  • quandoeuconectoocaboderede,eleestábloqueandotodaanossarede.

Vocêtemalgumaideiadecomopossoremovê-lo?

Oqueéesseserviço/processo?

Esteéoarquivoexe,quandoeuoexcluo,eleestávindonovamentetambém.

/proc/**pid**/exe=>symboliclinkto/usr/bin/hgmjzjkpxa

Quandoeumarquei"netstat -natp" existe um endereço externo de estabelecimento 98.126.251.114:2828. Quando tento adicionar regras ao iptables, não está funcionando. Mas depois de tentar e depois reiniciar este endereço, mude para 66.102.253.30:2828.

o SO é Debian Wheeze

    
por user1424059 14.02.2015 / 13:56

5 respostas

13

Eu tenho algumas experiências sobre este trojan de cadeia de 10 bits aleatório, Ele irá enviar muitos pacotes para inundação SYN.

  1. Reduza sua rede

O trojan tem um arquivo raw vindo de /lib/libudev.so , ele copia e bifurca novamente. Ele também adicionará cron.hourly job chamado gcc.sh , então ele adicionará o script inicial em seu /etc/rc*.d (Debian, o CentOS pode ser /etc/rc.d/{init,rc{1,2,3,4,5}}.d )

  1. Use root para executar o script abaixo para alterar os privilégios da pasta: chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/

  2. Exclua todos os arquivos /etc/rc{0,1,2,3,4,5,6,S}.d que foram criados hoje. O nome parece com S01???????? .

  3. Edite seu crontab, exclua o script gcc.sh no seu /etc/cron.hourly , exclua o arquivo gcc.sh ( /etc/cron.hourly/gcc.sh ) em seguida, adicione privilégios para o seu crontab: sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

  4. Use este comando para verificar as alterações mais recentes no arquivo: ls -lrt

Se você encontrar algum arquivo suspeito chamado S01xxxxxxxx (ou K8xxxxxxxx ), exclua-o.

  1. Então você deve reiniciar sem rede.

Em seguida, o trojan deve ser limpo e você pode modificar os privilégios da pasta para os valores originais ( chattr -i /lib /etc/crontab ).

    
por 24.11.2015 / 09:05
13

Isso é conhecido como o Trojan XORDDos Linux O truque é executar kill com -STOP para que o processo seja pausado, para que não crie um novo. 

'kill -STOP PROCESS_ID'
    
por 06.04.2016 / 23:30
2

Aposto que um dólar é link . Todos os seus sintomas são exatamente como descritos.

    
por 18.02.2015 / 08:46
0

Para mim, havia duas opções:

  1. Para o trojan que está mexendo com arquivos em / usr / bin, fiz isso apenas: echo > /lib/libudev.so Mate o trojan PID

  2. Para quem está mexendo com / bin (aqui sempre houve 5 a 10 processos sendo executados por uma fração chattr + i / bin e siga os passos mencionados por rainysia

por 16.09.2017 / 10:45
0

Nós também enfrentamos o mesmo problema, nossos servidores também são Hacked e eu achei que eles brutaram o login ssh e obtiveram sucesso e injetaram trojan em nosso sistema.

A seguir estão os detalhes:

menos / var / log / secure | grep 'Falha na senha' | grep '222.186.15.26' | wc -l 37772 iniciado

e tem acesso abaixo do tempo:  Senha aceito para root de 222.186.15.26 porta 65418 ssh2

E como por IP Location Finder este ip pertence a algum lugar na china.

Etapas corretivas: siga os passos dados por: @rainysia

Etapas preventivas: :

  1. De acordo comigo, algum gerenciador de notificações deve estar presente quando alguém tentar ssh ou acessar seu servidor e falhar muitas vezes.
    2. Os controladores de taxa de rede
  2. devem estar lá se você estiver usando qualquer plataforma de nuvem como aws, gcp, azure etc ...
por 30.01.2018 / 11:14

Tags

bat file para desativar o adaptador ethernet e reativá-lo após o login do Windows Usando associações de teclas Vim no Onenote