看来我的 Linux 主机(CentOS)感染了某种恶意软件。
有一个名为公开埃nce它已在 /tmp/ 中创建。它似乎自行启动并消耗 100% 的 CPU,导致主机非常慢。
我可以轻松终止 PID,然后 rm 罪魁祸首文件,但它会在大约一天后再次出现。我在 crontab 中没有看到任何启动它的条目。
我真的不知道我还应该做什么,有什么建议吗?在 Google 上搜索似乎找不到太多与“cpubal”相关的内容埃nce”,但是我确实找到了一个名为“cpubal”的恶意软件文件Ance”,文件大小相同。(但 MD5 不同)。
我已经运行了 clamscan 并且它将文件检测为:
- /tmp/cpubalence:Unix.Malware.Agent-1755468
我确实扫描了整个电脑并且还发现:
- {SNIP}/sshd: 发现 Unix.Trojan.Agent-37008
- {SNIP}/jbudp:发现 Unix.Trojan.Agent-37008
- {SNIP}/console.war: 已找到 Java.Malware.Agent-1775460
Console.war 是一个与我在主机上使用的开源软件相关的 Java 文件,它最初并没有出现在我的扫描中,但现在(几天后)它显示为受感染的文件。这可能是一个转移注意力的借口吗?
我最有可能重建机器,因为这是确保消除威胁的最安全选择。但是,我显然想更多地了解我感染了什么病毒以及它是如何发生的。
答案1
正如你所说,重建系统干净的操作系统才是最佳选择。现在系统已经受到威胁,您不能再信任它。
您还应该做什么?立即从网络中删除。它可能使用了 100% 的 CPU,因为它正在进行 DDoS(分布式拒绝服务)攻击,或扫描网络以寻找更多可攻击的系统,这两种攻击方式都可能损害其他系统。您让此系统运行并连接到网络的时间越长,恶意软件对您和他人造成的损害就越大。
我不知道您所谈论的特定恶意软件,我只是根据最近看到的类似攻击给您提供一般建议。
Java Web 应用程序现在似乎是一个热门攻击目标,因此无论 console.war 是什么,都可能是最初的攻击载体。如果此 Web 应用程序暴露在互联网上,不要简单地重新开始运行它在您重新安装的干净系统上——您可能会再次受到攻击。
你说它是某些开源软件的一部分——请检查该软件的安全更新。攻击者利用的漏洞很可能(但不确定)已经修复。请记住:任何可访问互联网的 Web 应用程序都必须及时更新安全补丁,否则就会被发现和利用。
此外,您的扫描仪怀疑的事实sshd
令人不安。如果攻击者可以破坏 ssh 守护程序,他们通常会在用户使用 ssh 远程登录时使用它来记录密码。如果您或任何人通过 ssh 连接到此系统并使用密码登录,您应该假设密码已被泄露,并且立即更改密码。
祝你好运。希望这次事件没有造成重大损失,你可以利用这个机会保护你的系统并避免将来出现问题。
答案2
我也遇到过这种情况。
我发现攻击者正在使用我的 postgres 服务器通过公共模式上的函数在 /tmp 上创建文件。
我建议将数据库迁移到另一台服务器并在新环境中更改默认密码。