%20-%20%E8%B3%87%E8%A8%8A%E8%88%87%E5%88%AA%E9%99%A4.png)
我的 Linux 主機(CentOS)似乎感染了某種惡意軟體。
有一個可執行檔名為中央處理器e恩斯它已在 /tmp/ 中建立。它似乎會自行啟動並消耗 100% CPU,使主機非常慢。
我可以輕鬆終止 PID,然後 rm 罪魁禍首文件,但它會在一天左右後返回。我在 crontab 中沒有看到任何啟動它的條目。
我不太確定我還應該做什麼,有什麼建議嗎?在Google上搜尋似乎沒有找到與“cpubal”有太多相關的信息ence」但是我確實找到了一個被列為惡意軟體的文件,名為「cpubalAnce”,檔案大小相同。(儘管 MD5 不同)。
我已經運行 clamscan,它檢測到該檔案為:
- /tmp/cpubalence:Unix.Malware.Agent-1755468
我掃描了整台電腦,還發現:
- {SNIP}/sshd:發現 Unix.Trojan.Agent-37008
- {SNIP}/jbudp:發現 Unix.Trojan.Agent-37008
- {SNIP}/console.war:找到 Java.Malware.Agent-1775460
Console.war 是一個與我在主機上使用的開源軟體相關的 Java 文件,它最初沒有出現在我的掃描中,但現在(幾天後)它顯示為受感染的文件。這可能是一條紅鯡魚嗎?
我很可能會重建機器,因為這將是確保消除威脅的最安全的選擇。然而,我顯然想更多地了解我感染了什麼以及它是如何發生的。
答案1
正如你所說,重建系統從乾淨的作業系統開始是可行的方法。既然系統已受到損害,您就不能信任它。
你還應該做什麼?立即將其從網路中刪除。它可能使用 100% CPU,因為它正在進行 DDoS(分散式阻斷服務)攻擊,或掃描網路以查找更多要攻擊的系統,這兩種情況都可能損害其他系統。您將該系統保持運作並連接到網路的時間越長,惡意軟體對您和其他人造成的損害就越大。
我不知道您所說的具體惡意軟體,我只是在看到最近的此類攻擊後向您提供一般建議。
Java Web 應用程式現在似乎是一個流行的目標,因此無論 console.war 是什麼,都可能是最初的向量。如果此 Web 應用程式暴露在互聯網上,不要簡單地再次開始運行它在乾淨地重新安裝的系統上—您可能會再次受到損害。
您說它是某些開源軟體的一部分 - 檢查該軟體的安全性更新。攻擊者利用的任何缺陷很可能(但不確定)已經被修復。並記住:任何可存取互聯網的 Web 應用程式都必須保持最新的安全補丁,否則就會被發現並被利用。
此外,您的掃描器懷疑的事實sshd也令人不安。如果攻擊者能夠破壞 ssh 守護進程,他們通常會在使用者使用 ssh 遠端登入時使用它來記錄密碼。如果您或任何人透過 ssh 連接到該系統並使用密碼登錄,您應該假設密碼已洩露,並且立即更改密碼。
祝你好運。希望這次事件沒有造成重大損害,您可以利用這個機會來保護您的系統並避免將來出現問題。
答案2
這也發生在我身上。
我發現攻擊者正在使用我的 postgres 伺服器透過公共模式上的函數在 /tmp 上建立檔案。
我建議將資料庫遷移到另一台伺服器並更改新環境上的預設密碼。