내 Ubuntu 서버가 마이너 웜에 감염되었습니다.https://medium.com/@Alibaba_Cloud/8220-mining-group-now-uses-rootkit-to-hide-its-miners-15d6c571cdb3
여기에 언급된 지침에 따라 정리를 진행했습니다. https://www.domoticz.com/forum/viewtopic.php?t=28329#p217121
이것으로 대부분이 해결되었지만 여전히 내 "top -c"에 프로세스가 남아 있어 높은 CPU 리소스를 소비하고 있습니다.
"ps -p"를 수행하고 프로세스 이름을 찾은 다음 /tmp 디렉터리에서 실행 파일을 제거하고 프로세스를 종료했습니다.
그러나 몇 초 후에 다른 프로세스가 다른 이름으로 /tmp 폴더에 다른 실행 파일로 나타납니다. ib_addr로 시작해서 vxfs, 그 다음에는 다른 것이었고 이제는 "1521626697"과 같은 임의의 숫자일 뿐입니다.
이 웜을 어떻게 제거합니까?
답변1
솔직히? 시스템 백업 - 모든 데이터베이스를 덤프하고, 패키지 목록을 덤프하고, 중요한 모든 것에 대해 rsync를 수행합니다. 시스템을 종료하세요.완전히시스템이 깨끗한지 확인하세요.
루트킷은 기본적으로 시스템 파일을 수정하도록 설계되었으며 실행 중인 시스템에서 루트킷이 사라졌는지 결코 확신할 수 없습니다.
재동기화한 파일에 대해 AV 검사를 실행하세요.~ 할 것이다발견된 몇 가지 사항을 찾아 보면 무엇이 잘못되었는지에 대한 명확한 아이디어를 얻을 수 있습니다.
재설치우분투의 새로운 복사본. SSH 루트 로그인을 끄고 다음 작업을 수행할 수 있도록 설정하세요.오직키 기반 인증을 수행하고 선택적으로 Fail2ban과 같은 것을 설정하십시오.
소프트웨어를 다시 설치하고 DB를 복원하는 등의 작업을 수행하십시오.
즉, 웜을 제거하는 유일한 확실한 방법은 시스템을 궤도에서 핵무기로 공격하는 것입니다.