%20-%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F%20%D0%B8%20%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5.png)
Похоже, у меня есть хост Linux (CentOS), зараженный каким-то вредоносным ПО.
Есть исполняемый файл под названиемcpubalеnceкоторый был создан в /tmp/. Похоже, он запускается сам по себе и потребляет 100% CPU, делая хост очень медленным.
Я могу легко завершить PID и затем удалить файл-виновник, но он просто возвращается примерно через день. Я не вижу никаких записей в crontab, которые его запускают.
Я не совсем уверен, что мне еще делать, есть ли какие-нибудь советы. Поиск в Google не находит ничего, связанного с "cpubalеnce" однако я нашел файл, указанный как вредоносное ПО, под названием "cpubalаnce", который имел тот же размер файла. (Хотя MD5 был разным).
Я запустил clamscan, и он обнаружил файл как:
- /tmp/cpubalence: Unix.Malware.Agent-1755468
Я просканировал весь ПК и также обнаружил:
- {SNIP}/sshd: Unix.Trojan.Agent-37008 НАЙДЕНО
- {SNIP}/jbudp: Unix.Trojan.Agent-37008 НАЙДЕНО
- {SNIP}/console.war: Java.Malware.Agent-1775460 НАЙДЕНО
Console.war — это файл Java, связанный с программным обеспечением с открытым исходным кодом, которое я использую на хосте. Изначально он не отображался при сканировании, но теперь (несколько дней спустя) он отображается как зараженный файл. Возможно, это отвлекающий маневр?
Я, скорее всего, пересоберу машину, так как это будет самым безопасным вариантом, чтобы гарантировать удаление угрозы. Однако я хотел бы, конечно, узнать больше о том, чем я был заражен и как это произошло.
решение1
Как ты говоришь,перестройка системыс чистой ОС — это выход. Теперь, когда система скомпрометирована, ей нельзя доверять.
Что еще вам следует сделать?Немедленно удалите его из сети.. Вероятно, он использует 100% CPU, потому что выполняет атаки DDoS (распределенный отказ в обслуживании) или сканирует сети, чтобы найти больше систем для атаки, и то и другое может нанести вред другим системам. Чем дольше вы оставляете эту систему включенной и подключенной к сети, тем больше вреда может нанести вредоносное ПО: вам и другим.
Я не знаю, о каком конкретно вредоносном ПО вы говорите, я просто даю вам общий совет, поскольку видел недавние атаки, подобные этой.
Java веб-приложения, похоже, являются популярной целью в наши дни, поэтому, что бы ни было console.war, это могло быть начальным вектором. Если это веб-приложение открыто для интернета,не стоит просто начинать запускать его снована вашей чистой переустановленной системе — вы можете снова подвергнуться атаке.
Вы говорите, что это часть какого-то программного обеспечения с открытым исходным кодом — проверьте наличие обновлений безопасности для этого программного обеспечения. Вероятно (но не обязательно), что любой недостаток, которым воспользовался злоумышленник, уже исправлен. И помните:любое веб-приложение, доступное через Интернет, должно быть обновлено с помощью обновлений безопасности, иначе оно будет обнаружено и использовано злоумышленниками.
Также, тот факт, что ваш сканер подозревает, sshdвызывает беспокойство. Если злоумышленник может скомпрометировать демон ssh, он обычно использует его для записи паролей, когда пользователи входят в систему удаленно с помощью ssh. Если вы или кто-либо другой подключился к этой системе через ssh и вошел с паролем, вы должны предположить, что пароль был скомпрометирован инемедленно измените пароль.
Удачи. Надеюсь, этот инцидент не нанес серьезного ущерба, и вы сможете использовать эту возможность, чтобы обезопасить свою систему и избежать будущих проблем.
решение2
это случилось и со мной.
Я обнаружил, что злоумышленник использовал мой сервер postgres для создания файлов в /tmp с помощью функции в публичной схеме.
Я рекомендую перенести базы данных на другой сервер и изменить пароли по умолчанию в новых средах.