O que está executando esses comandos na minha máquina e é um comportamento normal?

6

Passei algum tempo olhando para o htop e encontrei uma série de processos / comandos estranhos executados pelo usuário root por curtos períodos de tempo e fiquei me perguntando se isso é um comportamento normal (ou algum tipo de malware). Aqui está uma lista não exaustiva de comandos que aparecem no htop. Apenas o Tomcat e o MySQL estão rodando neste servidor Debian.

ifconfig eth 0
ps -ef
bash
uptime
top
netstat -antop
pwd
echo "find"
gnome-terminal
whoami
sleep 1
id
su
cd /etc

Agoraissoparecemal,nãoé?
Matarumprocessocomoessefazcomqueumnovosejageradoimediatamente,sempreinvocandoumastringaleatória.

    
por user94900 14.12.2014 / 14:25

4 respostas

5

Isso certamente parece um malware que não está se escondendo muito bem. O malware bem-escrito infectaria o kernel e se organizaria para se esconder completamente da lista de tarefas. Este disfarça-se desajeitadamente como o inofensivo uptime , mas faz um trabalho ruim, e uptime é suspeito de qualquer maneira porque não estaria funcionando por tanto tempo.

Se confirmar que se trata de malware, leia Como Lidar com um servidor comprometido?

Você precisará reinstalar o sistema. Mesmo que o malware pareça desajeitado, você não pode ter certeza de que será capaz de erradicá-lo: pode haver uma parte dele que está mais bem escondida.

Antes de reinstalar, tente descobrir como o malware chegou lá. Você instalou um programa de uma fonte incorreta? Você instalou um programa com uma falha de segurança conhecida? Verifique os logs, as datas dos arquivos, o histórico de comandos, etc.

Ao reinstalar, certifique-se de obter todo o software de uma fonte limpa. Verifique a soma de verificação de sua mídia de instalação em relação a uma soma de verificação no site HTTPS do provedor. Atenha-se ao software da distribuição tanto quanto possível e certifique-se de que a verificação da soma de verificação seja executada (é por padrão no Debian). Binários de privilégios da distribuição para binários de origem menos confiável. Certifique-se de aplicar todas as atualizações de segurança antes de ativar qualquer serviço voltado para a Internet. Se você precisar instalar um software fora de distribuição, certifique-se de recuperá-lo de uma fonte confiável, para obter a versão mais recente sem falhas de segurança conhecidas e para conceder o menor número de privilégios possível. Use senhas strongs (se necessário, anote-as em uma nota adesiva ao lado do monitor, se você trabalhar em uma área segura).

    
por 14.12.2014 / 23:45
2

Você também pode usar pstree ou ps auxf para descobrir qual processo está sendo executado. (Talvez essa saída seja mais legível).

Como você suspeita de qualquer malware, você também deve verificar se há processos tentando se comunicar na rede.

Você também pode usar netstat -tupln para verificar se algum processo inesperado está escutando conexões remotas. Da mesma forma, netstat -tupn mostrará a comunicação atual.

Veja também os scripts de inicialização em /etc/init.d/ ou mesmo /etc/rc.*/ para quaisquer entradas incomuns. O mesmo para o crontab, como já sugerido nos comentários.

    
por 14.12.2014 / 17:38
1

/ boot / nnfwcjkwna não parece ok para mim.

Confira o pid e o tipo do processo:

ls -l / proc / pid-number / exe

Exemplo:

Destaforma,vocêveráocaminhocompletodoexecutável.Váláeconfiraoconteúdocomls-al.Paraarquivosbináriosvisualizandouse:stringsfile|MaisEentãouseoespaçoparanavegar.

Confiraasnovasportasabertaseidentifiqueseusex'scomnestate/oulsof.

Comoparaalgunsconselhosdesegurança:

  1. Irnoníveldeexecuçãodomododeusuárioúnico.
  2. Verifiqueo/etc/passwde/etc/shadowparatercertezadequenenhumnovousuáriofoiadicionadoetambémdoarquivodeconfiguraçãodocron.
  3. Altereasenhadoroot.
  4. Nãopermitirloginraizdiretoecomando"su".
  5. Adicione um novo usuário para você e configure-o para o sudo como o único usuário capaz de executar o sudo.
  6. chmod 000 / usr / bin / sudo e, em seguida, use uma regra setfacl r -x para permitir que apenas esse usuário use o sudo.
  7. chattr + iau / etc / passwd / etc / shadow
  8. Verifique seus arquivos init, ele pode ter sido instalado lá também para que seja executado na reinicialização novamente.
  9. Volte para o nível de execução normal e inicie a rede.
  10. nmap -v -sS -O 127.0.0.1 -p "1-65500"

Espero que pelo menos alguns deles ajudem você.

EDIT: Como dito abaixo, esta não é uma solução permanente, mas algo para ajudar a investigar o problema. Não é muito útil se você reinstalar o sistema diretamente sem realmente saber como tudo aconteceu.

    
por 14.12.2014 / 23:43
0

De acordo com essa solução , seu vírus está em /lib/libudev.so ou /lib/libudev4.so . Você precisa:

chattr -i /lib/libudev.so 

Em seguida, remova, reinicie e exclua todos os outros itens, conforme descrito no link.

Você pode instalar o ClamAV .

    
por 15.02.2017 / 02:57

Tags