Como posso matar o malware minerd em uma instância do AWS EC2? (servidor comprometido)

Navegue suas respostas
22

Encontrei malware na minha instância ec2 que estava continuamente minerando bitcoins e usando meu poder de processamento de instâncias. Identifiquei com sucesso o processo, mas não consegui removê-lo e eliminá-lo.

eu corri este comando %código% Ele mostra os cinco principais processos em execução na minha instância, a partir dos quais descobri que há um nome de processo ' bashd ' que estava consumindo 30% da CPU. O processo é 

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

Eu matei este processo usando o comando watch "ps aux | sort -nrk 3,3 | head -n 5" . Após 5 segundos, o processo foi iniciado novamente.

    
por Nadeem Ahmed 30.09.2017 / 12:49

2 respostas

80

Se você não colocou o software lá e / ou se acha que sua instância de nuvem está comprometida: Coloque-a offline, exclua-a e reconstrua-a do zero (mas primeiro leia o link abaixo). Ele não pertence mais a você, você não pode mais confiar nele .

Veja "Como lidar com um servidor comprometido" no ServerFault para obter mais informações sobre o que fazer e como se comportar ao obter uma máquina comprometida.

Além das coisas para fazer e refletir na (s) lista (s) relacionada (s) acima, saiba que, dependendo de quem você é e de onde você é, você pode ter uma obrigação legal de denunciá-lo para uma equipe / equipe de segurança de TI local / central dentro de sua organização e / ou para autoridades (possivelmente até dentro de um determinado período de tempo).

Na Suécia (desde dezembro de 2015), por exemplo, qualquer agência estadual (por exemplo, universidades) é obrigada a relatar incidentes relacionados a TI dentro de 24 horas. Sua organização terá procedimentos documentados sobre como fazer isso.

    
por 30.09.2017 / 13:01
11

Este comando bashd é o mesmo que ccminer de ccminer-cryptonight programm para o meu Monero no seu sistema (existe tuto: Minerador de GPU Monero - Ccminer-cryptonight no Linux ), o bashd é obtido pelo aliasing ou modificando o código fonte do programa.

Cryptonight Malware: como matar o processo? (informações encontradas na página da web de especialistas em malware)

This again new malware which we call cryptonight, what we haven’t seen before. It’s downloads executable Linux program and hides that http daemon in background, which is difficult find process list at first glance.

Processo de remoção manual

You can search if there running process httpd, which start cryptonight parameter:

ps aux | grep cryptonight

Em seguida, apenas kill -9 process_id com permissões de root (você deve eliminar o processo de cryptonight não o bashd )

Para estar seguro, você deve:

  1. Reinstale seu sistema
  2. Atualize seu sistema para evitar a vulnerabilidade de ataques remotos: Servidores Linux sequestrados para minar criptografia através da vulnerabilidade do SambaCry
  3. Restringir usuários a executar comandos limitados
por 30.09.2017 / 23:01

Tags

Como posso deletar um arquivo chamado “”? zsh: Desativar “arquivo existe:” aviso com redirecionamento