%20%E2%80%93%20Information%20und%20Entfernung.png)
Es scheint, als hätte ich einen Linux-Host (CentOS), der mit einer Art Schadsoftware infiziert ist.
Es gibt eine ausführbare Datei namenscpubaltncedas in /tmp/ erstellt wurde. Es scheint sich selbst zu starten und 100 % der CPU zu verbrauchen, was den Host sehr langsam macht.
Ich kann die PID problemlos beenden und dann die fehlerhafte Datei rm ausführen, aber sie kehrt nach etwa einem Tag einfach zurück. Ich sehe keine Einträge in der Crontab, die sie starten.
Ich bin mir nicht sicher, was ich sonst noch tun soll. Gibt es einen Rat? Bei der Suche bei Google scheint nicht viel zu finden, was mit "cpubal" zu tun hat.tnce" jedoch habe ich eine als Malware aufgeführte Datei namens "cpubalAnce“, das die gleiche Dateigröße hatte. (Allerdings ein anderes MD5).
Ich habe Clamscan ausgeführt und es erkennt die Datei als:
- /tmp/cpubalence: Unix.Malware.Agent-1755468
Ich habe den gesamten PC gescannt und außerdem Folgendes gefunden:
- {SNIP}/sshd: Unix.Trojan.Agent-37008 GEFUNDEN
- {SNIP}/jbudp: Unix.Trojan.Agent-37008 GEFUNDEN
- {SNIP}/console.war: Java.Malware.Agent-1775460 GEFUNDEN
Console.war ist eine Java-Datei, die mit der Open-Source-Software zusammenhängt, die ich auf dem Host verwende. Sie wurde ursprünglich bei meinem Scan nicht angezeigt, aber jetzt (ein paar Tage später) wird sie als infizierte Datei angezeigt. Handelt es sich möglicherweise um eine falsche Fährte?
Ich werde die Maschine höchstwahrscheinlich neu aufbauen, da dies die sicherste Möglichkeit ist, die Bedrohung zu beseitigen. Allerdings möchte ich natürlich mehr darüber wissen, womit ich infiziert wurde und wie es dazu kam.
Antwort1
Wie du sagst,Umbau des Systemsvon einem sauberen Betriebssystem ist der richtige Weg. Jetzt, da das System kompromittiert ist, können Sie ihm nicht mehr vertrauen.
Was sollten Sie sonst noch tun?Entfernen Sie es sofort aus dem Netzwerk. Es nutzt wahrscheinlich 100 % der CPU, weil es DDoS-Angriffe (Distributed Denial of Service) durchführt oder Netzwerke nach weiteren Systemen zum Angreifen durchsucht, was beides andere Systeme beschädigen kann. Je länger Sie dieses System aktiv und mit einem Netzwerk verbunden lassen, desto mehr Schaden kann die Malware anrichten: bei Ihnen und bei anderen.
Ich kenne die Schadsoftware, von der Sie sprechen, nicht speziell. Ich gebe Ihnen nur einen allgemeinen Rat, da ich derartige Angriffe in letzter Zeit miterlebt habe.
Java-Webanwendungen scheinen heutzutage ein beliebtes Ziel zu sein, daher könnte console.war, was auch immer es ist, der ursprüngliche Vektor gewesen sein. Wenn diese Webanwendung im Internet verfügbar gemacht wird,nicht einfach wieder startenauf Ihrem sauber neu installierten System – es kann sein, dass Sie erneut kompromittiert werden.
Sie sagen, es ist Teil einer Open-Source-Software – prüfen Sie, ob es Sicherheitsupdates für diese Software gibt. Es ist wahrscheinlich (aber nicht sicher), dass der Fehler, den der Angreifer ausgenutzt hat, bereits behoben wurde. Und denken Sie daran:jede über das Internet zugängliche Webanwendung muss mit Sicherheitspatches auf dem neuesten Stand gehalten werden, sonst wird sie entdeckt und ausgenutzt.
Auch die Tatsache, dass Ihr Scanner einen Verdacht hegt, sshdist beunruhigend. Wenn ein Angreifer den SSH-Daemon kompromittieren kann, nutzt er ihn normalerweise, um Passwörter aufzuzeichnen, wenn sich Benutzer remote über SSH anmelden. Wenn Sie oder jemand anderes über SSH mit diesem System verbunden und sich mit einem Passwort angemeldet hat, sollten Sie davon ausgehen, dass das Passwort kompromittiert wurde unddas Passwort sofort ändern.
Viel Glück. Hoffentlich hat dieser Vorfall keinen größeren Schaden verursacht und Sie können diese Gelegenheit nutzen, um Ihr System zu sichern und zukünftige Probleme zu vermeiden.
Antwort2
das ist mir auch passiert.
Ich habe herausgefunden, dass der Angreifer meinen Postgres-Server verwendet hat, um die Dateien auf /tmp über eine Funktion im öffentlichen Schema zu erstellen.
Ich empfehle, Datenbanken auf einen anderen Server zu migrieren und die Standardkennwörter in den neuen Umgebungen zu ändern.