恶意软件 (cpubalence) - 信息和删除

恶意软件 (cpubalence) - 信息和删除

看来我的 Linux 主机(CentOS)感染了某种恶意软件。

有一个名为公开nce它已在 /tmp/ 中创建。它似乎自行启动并消耗 100% 的 CPU,导致主机非常慢。

我可以轻松终止 PID,然后 rm 罪魁祸首文件,但它会在大约一天后再次出现。我在 crontab 中没有看到任何启动它的条目。

我真的不知道我还应该做什么,有什么建议吗?在 Google 上搜索似乎找不到太多与“cpubal”相关的内容nce”,但是我确实找到了一个名为“cpubal”的恶意软件文件Ance”,文件大小相同。(但 MD5 不同)。

我已经运行了 clamscan 并且它将文件检测为:

  • /tmp/cpubalence:Unix.Malware.Agent-1755468

我确实扫描了整个电脑并且还发现:

  • {SNIP}/sshd: 发现 Unix.Trojan.Agent-37008
  • {SNIP}/jbudp:发现 Unix.Trojan.Agent-37008
  • {SNIP}/console.war: 已找到 Java.Malware.Agent-1775460

Console.war 是一个与我在主机上使用的开源软件相关的 Java 文件,它最初并没有出现在我的扫描中,但现在(几天后)它显示为受感染的文件。这可能是一个转移注意力的借口吗?

我最有可能重建机器,因为这是确保消除威胁的最安全选择。但是,我显然想更多地了解我感染了什么病毒以及它是如何发生的。

答案1

正如你所说,重建系统干净的操作系统才是最佳选择。现在系统已经受到威胁,您不能再信任它。

您还应该做什么?立即从网络中删除。它可能使用了 100% 的 CPU,因为它正在进行 DDoS(分布式拒绝服务)攻击,或扫描网络以寻找更多可攻击的系统,这两种攻击方式都可能损害其他系统。您让此系统运行并连接到网络的时间越长,恶意软件对您和他人造成的损害就越大。

我不知道您所谈论的特定恶意软件,我只是根据最近看到的类似攻击给您提供一般建议。

Java Web 应用程序现在似乎是一个热门攻击目标,因此无论 console.war 是什么,都可能是最初的攻击载体。如果此 Web 应用程序暴露在互联网上,不要简单地重新开始运行它在您重新安装的干净系统上——您可能会再次受到攻击。

你说它是某些开源软件的一部分——请检查该软件的安全更新。攻击者利用的漏洞很可能(但不确定)已经修复。请记住:任何可访问互联网的 Web 应用程序都必须及时更新安全补丁,否则就会被发现和利用

此外,您的扫描仪怀疑的事实sshd令人不安。如果攻击者可以破坏 ssh 守护程序,他们通常会在用户使用 ssh 远程登录时使用它来记录密码。如果您或任何人通过 ssh 连接到此系统并使用密码登录,您应该假设密码已被泄露,并且立即更改密码

祝你好运。希望这次事件没有造成重大损失,你可以利用这个机会保护你的系统并避免将来出现问题。

答案2

我也遇到过这种情况。

我发现攻击者正在使用我的 postgres 服务器通过公共模式上的函数在 /tmp 上创建文件。

我建议将数据库迁移到另一台服务器并在新环境中更改默认密码。

相关内容