%20-%20informa%C3%A7%C3%A3o%20e%20remo%C3%A7%C3%A3o.png)
Parece que tenho um host Linux (CentOS) infectado com algum tipo de malware.
Existe um executável chamadocpubaleuma vezque foi criado em /tmp/. Parece iniciar sozinho e consumir 100% da CPU, tornando o host muito lento.
Posso encerrar facilmente o PID e, em seguida, corrigir o arquivo culpado, mas ele retorna depois de um ou dois dias. Não vejo nenhuma entrada no crontab que esteja iniciando.
Não tenho certeza do que mais devo fazer, há algum conselho. Pesquisar no Google não parece encontrar muita coisa relacionada a "cpubalence", no entanto, encontrei um arquivo listado como malware chamado "cpubalance" que tinha o mesmo tamanho de arquivo. (embora MD5 diferente).
Executei o clamscan e ele detectou o arquivo como:
- /tmp/cpubalence: Unix.Malware.Agent-1755468
Eu verifiquei todo o PC e também encontrei:
- {SNIP}/sshd: Unix.Trojan.Agent-37008 ENCONTRADO
- {SNIP}/jbudp: Unix.Trojan.Agent-37008 ENCONTRADO
- {SNIP}/console.war: Java.Malware.Agent-1775460 ENCONTRADO
Console.war é um arquivo Java relacionado ao software de código aberto que estou usando no host. Ele não apareceu originalmente na minha varredura, mas agora (alguns dias depois) aparece como um arquivo infectado. É possivelmente uma pista falsa?
Provavelmente reconstruirei a máquina, pois essa será a opção mais segura para garantir que a ameaça seja removida. No entanto, obviamente, gostaria de saber mais sobre o que fui infectado e como isso aconteceu.
Responder1
Como você diz,reconstruindo o sistemade um sistema operacional limpo é o caminho a percorrer. Agora que o sistema está comprometido, você não pode confiar nele.
O que mais você deve fazer?Remova-o da rede imediatamente. Provavelmente está usando 100% da CPU porque está realizando ataques DDoS (negação de serviço distribuída) ou verificando redes para encontrar mais sistemas para atacar, ambos os quais podem prejudicar outros sistemas. Quanto mais tempo você deixar esse sistema ligado e conectado a uma rede, mais danos o malware poderá causar: a você e a outras pessoas.
Não conheço esse malware específico de que você está falando, apenas estou lhe dando conselhos gerais, tendo visto ataques recentes como este.
Os aplicativos da web Java parecem ser um alvo popular atualmente, então qualquer que seja o console.war, pode ter sido o vetor inicial. Se este aplicativo da web for exposto à Internet,não simplesmente comece a executá-lo novamenteem seu sistema limpo e reinstalado - você pode ficar comprometido novamente.
Você diz que faz parte de algum software de código aberto - verifique se há atualizações de segurança para este software. É provável (mas não certo) que qualquer falha da qual o invasor se aproveitou já tenha sido corrigida. E lembre-se:qualquer aplicativo da web acessível pela Internet deve ser mantido atualizado com patches de segurança, ou será encontrado e explorado.
Além disso, o fato de o seu scanner suspeitar sshdé preocupante. Se um invasor puder comprometer o daemon ssh, ele geralmente o usará para registrar senhas quando os usuários fizerem login remotamente usando ssh. Se você ou alguém se conectou a este sistema via ssh e fez login com uma senha, você deve assumir que a senha foi comprometida emude a senha imediatamente.
Boa sorte. Esperamos que este incidente não tenha causado grandes danos e você possa aproveitar esta oportunidade para proteger seu sistema e evitar problemas futuros.
Responder2
Isso aconteceu comigo também.
Descobri que o invasor estava usando meu servidor postgres para criar os arquivos em/tmp por meio de uma função no esquema público.
Recomendo migrar os bancos de dados para outro servidor e alterar as senhas padrão nos novos ambientes.