我在我的 ec2 实例上发现了恶意软件,该实例不断挖掘比特币并使用我的实例处理能力。我成功识别了该进程,但无法删除并终止它。
我运行了这个命令,
watch "ps aux | sort -nrk 3,3 | head -n 5"
它显示了我的实例上运行的前五个进程,从中我发现有一个进程名称'巴什德' 这消耗了 30% 的 cpu。过程是
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
我使用kill -9 process_id命令杀死了这个进程。 5秒后,该过程再次开始。
答案1
如果您没有将软件放在那里和/或如果您认为您的云实例受到损害:将其脱机、删除并从头开始重建(但请先阅读下面的链接)。它不再属于你,你不能再信任它。
看“如何处理受感染的服务器”在 ServerFault 上,了解有关在计算机受到威胁时该怎么做以及如何表现的更多信息。
除了上面链接的列表中要做和思考的事情之外,请注意,根据您是谁以及您在哪里,您可能会遇到以下情况:报告的法律义务向组织内的本地/中央 IT 安全团队/人员和/或当局(甚至可能在特定时间范围内)发送。
例如,在瑞典(自 2015 年 12 月起),任何国家机构(例如大学)都有义务在 24 小时内报告与 IT 相关的事件。您的组织将有关于如何执行此操作的书面程序。
答案2
该命令与在您的系统上从程序中挖掘门罗币的命令bashd相同(有tuto:ccminerccminer-cryptonightMonero - Linux 上的 CCminer-cryptonight GPU 矿工),bashd是通过别名或修改程序源代码获得的。
Cryptonight 恶意软件:如何杀死进程? (在恶意软件专家网页上找到的信息)
这又是一种新的恶意软件,我们称之为 cryptonight,这是我们以前从未见过的。它下载可执行的Linux程序并在后台隐藏http守护进程,乍一看很难找到进程列表。
手动删除过程
您可以搜索是否有正在运行的进程 httpd,它启动 cryptonight 参数:
ps aux | grep cryptonight
然后只需具有root权限。(你应该杀死而不是kill -9 process_id的进程)cryptonightbashd
为了安全起见,您应该:
- 重新安装系统
- 修补您的系统以防止远程攻击漏洞:Linux 服务器通过 SambaCry 漏洞被劫持以挖掘加密货币
- 限制用户运行有限的命令