Mein Ubuntu-Server wurde mit einem Miner-Wurm infiziert:https://medium.com/@Alibaba_Cloud/8220-mining-group-now-uses-rootkit-to-hide-its-miners-15d6c571cdb3
Ich habe dann mit der Bereinigung gemäß den hier genannten Richtlinien begonnen: https://www.domoticz.com/forum/viewtopic.php?t=28329#p217121
Damit war das meiste erledigt, aber auf meinem „top -c“ schlummert immer noch ein Prozess, der viele CPU-Ressourcen verbraucht.
Ich habe „ps -p “ ausgeführt, den Prozessnamen gefunden, die ausführbare Datei aus dem Verzeichnis /tmp entfernt und den Prozess beendet.
Ein paar Sekunden später taucht jedoch an seiner Stelle ein anderer Prozess mit einem anderen Namen und einer anderen ausführbaren Datei im Ordner /tmp auf. Er begann mit ib_addr, dann mit vxfs, dann mit etwas anderem und jetzt sind es nur noch Zufallszahlen wie „1521626697“.
Wie werde ich diesen Wurm los?
Antwort1
Ehrlich? Sichern Sie das System - sichern Sie alle Datenbanken, sichern Sie eine Paketliste und synchronisieren Sie alles Wichtige per Rsync. Fahren Sie das System herunter - Sie können nichttotalStellen Sie sicher, dass das System sauber ist.
Ein Rootkit dient im Wesentlichen dazu, Systemdateien zu ändern, und Sie können nie wirklich sicher sein, dass es auf einem laufenden System installiert ist.
Führen Sie einen Antivirus-Scan für die Dateien durch, die Sie per Rsync übertragen haben.WilleSuchen Sie nach einigen Dingen, die aufgefallen sind und Ihnen eine klare Vorstellung davon geben sollten, was nicht stimmt.
Neu installiereneine neue Kopie von Ubuntu. Deaktivieren Sie SSH-Root-Logins, richten Sie alles so ein, dass SienurFühren Sie eine schlüsselbasierte Authentifizierung durch und richten Sie optional etwas wie fail2ban ein.
Installieren Sie Ihre Software neu, stellen Sie die Datenbanken wieder her usw.
Das heißt, die einzige sichere Möglichkeit, einen Wurm loszuwerden, besteht darin, das System aus der Umlaufbahn mit Atombomben zu beschießen.