私の Ubuntu サーバーがマイナーワームに感染しました:https://medium.com/@Alibaba_Cloud/8220-mining-group-now-uses-rootkit-to-hide-its-miners-15d6c571cdb3
私はここで述べられているガイドラインに従ってクリーンアップを進めました: https://www.domoticz.com/forum/viewtopic.php?t=28329#p217121
これで大部分は解決しましたが、まだ「top -c」で待機しているプロセスが、CPU リソースを大量に消費しています。
「ps -p」を実行し、プロセス名を見つけ、/tmp ディレクトリから実行ファイルを削除し、プロセスを強制終了しました。
しかし、数秒後に別のプロセスが別の名前でその場所に現れ、/tmp フォルダに別の実行ファイルが保存されます。最初は ib_addr で始まり、次に vxfs、そして別の何かになり、今では「1521626697」のようなランダムな数字になっています。
このワームを駆除するにはどうすればいいですか?
答え1
正直に言うと?システムをバックアップしてください。データベースをダンプし、パッケージリストをダンプし、重要なものはすべてrsyncしてください。システムをシャットダウンしてください。完全にシステムがクリーンであることを確認してください。
ルートキットは本質的にシステム ファイルを変更するように設計されており、実行中のシステムにルートキットが確実に存在しないという保証はありません。
rsyncしたファイルに対してAVスキャンを実行します。意思拾ったものをいくつか見つければ、何が問題なのかが明確にわかるはずです。
再インストールUbuntuの新規コピー。SSHルートログインをオフにして、のみキーベースの認証を実行し、オプションで fail2ban のようなものを設定します。
ソフトウェアを再インストールし、DB を復元するなどします。
つまり、ワームを駆除する唯一確実な方法は、軌道上からシステムを核爆弾で攻撃することだ。