%20-%20%EC%A0%95%EB%B3%B4%20%EB%B0%8F%20%EC%A0%9C%EA%B1%B0.png)
일종의 악성 코드에 감염된 Linux 호스트( CentOS )가 있는 것 같습니다.
라는 실행 파일이 있습니다.CPU발이자형처음부터/tmp/에 생성되었습니다. 자체적으로 시작되어 100% CPU를 소비하여 호스트가 매우 느려지는 것 같습니다.
PID를 쉽게 종료한 다음 범인 파일을 rm할 수 있지만 하루 정도 지나면 다시 돌아옵니다. crontab에서 시작하는 항목이 표시되지 않습니다.
제가 무엇을 더 해야 할지 잘 모르겠습니다. 조언이 있을까요? 구글에서 검색해봐도 "cpubal"과 관련된 내용은 많이 나오지 않는 것 같습니다.이자형nce" 그러나 "cpubal"이라는 악성 코드로 나열된 파일을 찾았습니다.ㅏnce"는 파일 크기가 동일했습니다. (MD5는 다르지만)
clamscan을 실행했는데 다음과 같이 파일이 감지되었습니다.
- /tmp/cpubalence: Unix.Malware.Agent-1755468
전체 PC를 스캔한 결과 다음도 발견되었습니다.
- {SNIP}/sshd: Unix.Trojan.Agent-37008 발견됨
- {SNIP}/jbudp: Unix.Trojan.Agent-37008 발견됨
- {SNIP}/console.war: Java.Malware.Agent-1775460 발견됨
Console.war은 호스트에서 사용 중인 오픈소스 소프트웨어와 관련된 Java 파일입니다. 원래는 스캔에 표시되지 않았지만 지금(며칠 후) 감염된 파일로 표시됩니다. 아마도 붉은 청어일까요?
위협을 제거하는 가장 안전한 옵션이 될 것이므로 머신을 다시 구축할 가능성이 높습니다. 그러나 나는 내가 무엇에 감염되었는지, 그리고 그것이 어떻게 발생했는지에 대해 더 많이 알고 싶습니다.
답변1
당신이 말한대로,시스템 재구축깨끗한 OS에서 가는 것이 좋습니다. 이제 시스템이 손상되었으므로 신뢰할 수 없습니다.
또 무엇을 해야 합니까?즉시 네트워크에서 제거하세요.. DDoS(분산 서비스 거부) 공격을 수행하거나 공격할 더 많은 시스템을 찾기 위해 네트워크를 검색하고 있기 때문에 아마도 CPU를 100% 사용하고 있을 것입니다. 이 두 가지 모두 다른 시스템에 해를 끼칠 수 있습니다. 이 시스템을 오랫동안 네트워크에 연결해 두면 멀웨어가 귀하와 다른 사람에게 더 많은 피해를 입힐 수 있습니다.
나는 당신이 말하는 특정 악성 코드에 대해 잘 모릅니다. 최근 이와 같은 공격을 본 경험이 있는 일반적인 조언을 제공하는 것뿐입니다.
요즘 Java 웹 애플리케이션이 인기 있는 대상인 것 같으므로 console.war이 무엇이든 초기 벡터일 수 있습니다. 이 웹 애플리케이션이 인터넷에 노출되면,단순히 다시 실행을 시작하지 마십시오깨끗하게 재설치된 시스템에서는 다시 손상될 수 있습니다.
일부 오픈 소스 소프트웨어의 일부라고 하셨습니다. 이 소프트웨어에 대한 보안 업데이트를 확인하세요. 공격자가 이용했던 결함이 무엇이든 이미 수정되었을 가능성이 높습니다(확실하지는 않음). 그리고 기억하세요:인터넷에 액세스할 수 있는 모든 웹 애플리케이션은 보안 패치를 통해 최신 상태로 유지되어야 합니다. 그렇지 않으면 발견되어 악용될 수 있습니다..
또한 스캐너가 의심한다는 사실도 sshd문제입니다. 공격자가 ssh 데몬을 손상시킬 수 있는 경우 일반적으로 이를 사용하여 사용자가 ssh를 사용하여 원격으로 로그인할 때 비밀번호를 기록합니다. 귀하 또는 누군가가 ssh를 통해 이 시스템에 연결하고 비밀번호로 로그인한 경우 비밀번호가 손상되었다고 가정해야 합니다.당장 비밀번호를 바꿔라.
행운을 빌어요. 이번 사건으로 인해 큰 피해가 발생하지 않기를 바랍니다. 이번 기회를 통해 시스템을 보호하고 향후 문제를 방지할 수 있습니다.
답변2
나에게도 이런 일이 일어났습니다.
나는 공격자가 공개 스키마의 함수를 통해 /tmp에 파일을 생성하기 위해 내 postgres 서버를 사용하고 있다는 것을 발견했습니다.
데이터베이스를 다른 서버로 마이그레이션하고 새 환경에서 기본 비밀번호를 변경하는 것이 좋습니다.