%20-%20%E6%83%85%E5%A0%B1%E3%81%A8%E5%89%8A%E9%99%A4.png)
Linux ホスト ( CentOS ) が何らかのマルウェアに感染しているようです。
実行ファイルがありますパブリックence/tmp/ に作成されました。自動的に起動し、CPU を 100% 消費して、ホストが非常に遅くなるようです。
PID を簡単に終了して、原因となっているファイルを rm することはできますが、1 日かそこらで元に戻ってしまいます。crontab には、これを開始しているエントリは表示されません。
他に何をすべきかよくわかりません。何かアドバイスはありますか?Googleで検索しても、「cpubal」に関連するものはあまり見つからないようです。ence"ですが、マルウェアとしてリストされている"cpubal"というファイルを見つけました。1つのnce"は同じファイルサイズでした。(ただし、MD5は異なります)。
clamscan を実行すると、次のようにファイルが検出されました:
- /tmp/cpubalence: Unix.Malware.Agent-1755468
PC 全体をスキャンしたところ、次のものも見つかりました:
- {SNIP}/sshd: Unix.Trojan.Agent-37008 が見つかりました
- {SNIP}/jbudp: Unix.Trojan.Agent-37008 が見つかりました
- {SNIP}/console.war: Java.Malware.Agent-1775460 が見つかりました
Console.war は、ホストで使用しているオープンソース ソフトウェアに関連する Java ファイルです。スキャンでは最初は表示されませんでしたが、今 (数日後) は感染ファイルとして表示されます。これはおそらく誤報でしょうか?
脅威を確実に除去するには、マシンを再構築するのが最も安全な選択肢なので、おそらくそうするでしょう。しかし、何に感染したのか、そしてそれがどのように起こったのかについて、もっと詳しく知りたいのは当然です。
答え1
あなたが言うように、システムの再構築クリーンな OS から復元するのが最善の方法です。システムが危険にさらされているので、信頼できません。
他に何をすべきでしょうか?すぐにネットワークから削除してくださいおそらく、DDoS (分散型サービス拒否) 攻撃を実行しているか、攻撃するシステムを見つけるためにネットワークをスキャンしているため、CPU を 100% 使用しています。どちらも他のシステムに害を及ぼす可能性があります。このシステムをネットワークに接続したまま放置する時間が長ければ長いほど、マルウェアがあなたや他の人に与える損害が大きくなります。
あなたが言及している特定のマルウェアについては知りませんが、最近このような攻撃を見た上での一般的なアドバイスを提供しているだけです。
Java Webアプリケーションは最近人気の標的のようですので、console.warが最初のベクトルだった可能性があります。このWebアプリケーションがインターネットに公開されている場合、単に再度実行を開始しないでくださいクリーンに再インストールしたシステムでは、再び侵害を受ける可能性があります。
これはオープンソース ソフトウェアの一部であるとおっしゃっていますが、このソフトウェアのセキュリティ更新を確認してください。攻撃者が悪用した欠陥はすでに修正されている可能性があります (確実ではありませんが)。また、次の点に注意してください。インターネットからアクセス可能なウェブアプリケーションは、セキュリティパッチを最新の状態に維持する必要があります。そうしないと、発見されて悪用される可能性があります。。
また、スキャナが疑っている事実sshdは厄介です。攻撃者がSSHデーモンを侵害できる場合、通常、SSHを使用してユーザーがリモートでログインするときにパスワードを記録するために使用します。あなたまたは誰かがSSH経由でこのシステムに接続し、パスワードを使用してログインした場合、パスワードが侵害され、すぐにパスワードを変更してください。
幸運を祈ります。この事件が大きな損害をもたらさず、この機会を利用してシステムを保護し、将来の問題を回避できることを願います。
答え2
これは私にも起こりました。
攻撃者が私の postgres サーバーを使用して、パブリック スキーマの関数を通じて /tmp にファイルを作成していたことがわかりました。
データベースを別のサーバーに移行し、新しい環境でデフォルトのパスワードを変更することをお勧めします。