Como remover o vírus camplz no Ubuntu

Question

Como remover o vírus camplz no Ubuntu

#1 resposta do Amol (2 votos)

2

Eu notei um vírus em nossa máquina. Os sintomas mostrados são

Executa vários processos com o nome camplz. Se eu matar o processo reinicia
O executável está presente no diretório / usr / bin. Se eu exclua o executável que é recriado.
Cria arquivos em / tmp com nome config.f e ?? af ??? a ??? mdkkkk.
Se eu excluir os arquivos, eles são recriados. ESTABELECER conexões IP com IP baseado na China. endereços e começa a enviar bytes em MB, aumentando minha largura de banda utilização.
```
lsof -o shows camplz  26983    root    2u  IPv4 2380650457      0t0  TCP <mydomain.com>:18703->100.42.227.29:18888 (ESTABLISHED)
```

mydomain.com é um marcador de posição.

Embora eu tenha encontrado a fonte, não tenho ideia de como removê-la e limpar minha máquina. Eu não quero mudar de máquina tanto quanto possível. Atualmente, eu escrevi um script simples que mata o processo e apaga os arquivos criados. Isso ajuda. No entanto, não é uma solução permanente. Eu usei poucos softwares de varredura de vírus. Mas eles não pegam. Alguém pode sugerir uma solução.

    #!/bin/bash

    while true; do ps -ef | grep camplz | grep -v grep | awk '{print $2}' |  xargs kill; rm /usr/bin/camplz ; rm /tmp/config.f ; rm /tmp/??af???a???mdkkkk ;  done

por Amol 27.08.2016 / 19:26

1 resposta

Como obter o corretor ortográfico do KATE para mostrar todas as palavras com erros ortográficos? Ubuntu 16.04 no Macbook 8,1 CPU e problemas de superaquecimento da GPU integrada

score 2 · Answer 1

Amigos, Monitorou o sistema na noite passada e achou estável. Pensei em compartilhar minha experiência sobre como o problema foi resolvido.

Declaração do problema Recebi um e-mail do provedor de hospedagem que o uso da largura de banda aumentou em vários níveis.

Caça à fonte

Ran iftop -n para descobrir o fluxo de dados. Claramente minha máquina era envio de dados.
Ran lsof -i e lsof -o para descobrir qual processo estão enviando dados para fora.
Obteve o PID da saída de lsof -o
Executou ps -e -o cmd,pid,ppid | grep <pid> para entender o pai ID do processo. Foi encontrado para ser 1
Ran grep -rnw '/' -e "camplz" para descubra todos os arquivos que tiveram presença do nome do processo
Abri os arquivos para ler como os scripts estavam se comportando
Por fim, apagou todos os arquivos infectados e matou sua execução processo

Pontos de informação mais específicos estão nos comentários. Eu acredito que eles poderiam adiar para indivíduos embora.

Escreveu alguns scripts durante este processo. Espero que você ache útil.

Script para eliminar o processo sempre que aparecer

    #!/bin/bash

    while true; do ps -ef | grep camplz | grep -v grep | awk '{print $2}' |  xargs kill; rm /usr/bin/camplz ; rm /tmp/config.f ; rm /tmp/??af???a???mdkkkk ;  done

Script para monitorar o uso da largura de banda e enviar e-mails, caso ele salte

    #!/bin/bash
    log="/root/net.log"
    current_time=$(date "+%Y.%m.%d-%H.%M.%S")
    if [ -z "$1" ]; then
            echo
            echo usage: $0 network-interface
            echo
            echo e.g. $0 eth0
            echo
            echo shows packets-per-second
            exit
    fi

    IF=$1

    while :;
    do
            R1='cat /sys/class/net/$1/statistics/rx_bytes'
            T1='cat /sys/class/net/$1/statistics/tx_bytes'
            sleep 10
            R2='cat /sys/class/net/$1/statistics/rx_bytes'
            T2='cat /sys/class/net/$1/statistics/tx_bytes'
            TXPPS='expr $T2 - $T1'
            RXPPS='expr $R2 - $R1'
            echo "tx $1: $TXPPS bytes/s rx $1: $RXPPS bytes/s"
                    if [ "$TXPPS" -gt 100000000 ]; then
                    mail -s "Data is being transmitted above 100 MB. Please Check" <put your email id here. e.g. [email protected]> < /dev/null
                            echo "$current_time Mail send successfully" >>$log
                    fi
    done

Obrigado a @mikewhatever @DopeGhoti e agradecimentos especiais a @Serg