%3A%20informaci%C3%B3n%20y%20eliminaci%C3%B3n.png)
Parece que tengo un host Linux (CentOS) infectado con algún tipo de malware.
Hay un ejecutable llamadocpubalmiuna vezque ha sido creado en /tmp/. Parece iniciarse solo y consumir el 100% de la CPU, lo que hace que el host sea muy lento.
Puedo terminar fácilmente el PID y luego confirmar el archivo culpable, pero simplemente regresa después de aproximadamente un día. No veo ninguna entrada en crontab que lo esté iniciando.
No estoy muy seguro de qué más debo hacer, ¿hay algún consejo? Al buscar en Google no parece encontrar mucho relacionado con "cpubalmince", sin embargo, encontré un archivo catalogado como malware llamado "cpubalance", que tenía el mismo tamaño de archivo (aunque MD5 diferente).
Ejecuté clamscan y detecta el archivo como:
- /tmp/cpubalence: Unix.Malware.Agent-1755468
Escaneé toda la PC y también encontré:
- {SNIP}/sshd: Unix.Trojan.Agent-37008 ENCONTRADO
- {SNIP}/jbudp: Unix.Trojan.Agent-37008 ENCONTRADO
- {SNIP}/console.war: Java.Malware.Agent-1775460 ENCONTRADO
Console.war es un archivo Java relacionado con el software de código abierto que estoy usando en el host. No apareció originalmente en mi análisis, pero ahora (unos días después) aparece como un archivo infectado. ¿Es posiblemente una pista falsa?
Lo más probable es que reconstruya la máquina, ya que será la opción más segura para garantizar que se elimine la amenaza. Sin embargo, obviamente me gustaría saber más sobre con qué me he infectado y cómo sucedió.
Respuesta1
Como usted dice,reconstruyendo el sistemadesde un sistema operativo limpio es el camino a seguir. Ahora que el sistema está comprometido, no puedes confiar en él.
¿Qué más deberías hacer?Quitarlo de la red inmediatamente. Probablemente esté usando 100% de CPU porque está realizando ataques DDoS (denegación de servicio distribuido) o escaneando redes para encontrar más sistemas para atacar, los cuales pueden dañar otros sistemas. Cuanto más tiempo deje este sistema encendido y conectado a una red, más daño podrá causar el malware: a usted y a otros.
No conozco este malware específico del que estás hablando, solo te estoy dando un consejo general después de haber visto ataques recientes como este.
Las aplicaciones web Java parecen ser un objetivo popular hoy en día, por lo que sea cual sea el archivo console.war, puede haber sido el vector inicial. Si esta aplicación web está expuesta a Internet,no simplemente empieces a ejecutarlo de nuevoen su sistema limpio y reinstalado, es posible que vuelva a verse comprometido.
Dice que es parte de algún software de código abierto; busque actualizaciones de seguridad para este software. Es probable (pero no seguro) que cualquier defecto que aprovechó el atacante ya haya sido solucionado. Y recuerda:cualquier aplicación web accesible a Internet debe mantenerse actualizada con parches de seguridad, o será encontrada y explotada.
Además, el hecho de que su escáner sospeche sshdes preocupante. Si un atacante puede comprometer el demonio ssh, normalmente lo utiliza para registrar contraseñas cuando los usuarios inician sesión de forma remota mediante ssh. Si usted o alguien se ha conectado a este sistema a través de ssh y ha iniciado sesión con una contraseña, debe asumir que la contraseña ha sido comprometida ycambiar la contraseña inmediatamente.
Buena suerte. Esperemos que este incidente no haya causado daños importantes y pueda aprovechar esta oportunidad para proteger su sistema y evitar problemas futuros.
Respuesta2
Esto me pasó a mí también.
Descubrí que el atacante estaba usando mi servidor Postgres para crear los archivos en/tmp a través de una función en el esquema público.
Recomiendo migrar bases de datos a otro servidor y cambiar las contraseñas predeterminadas en los nuevos entornos.