wipefs我找到了用户运行的名为的程序postgres。服务器是Ubuntu 12.04。
当我这样做时,ps ax|grep wipefs我得到了:
10209 ? Sl 1:04 /var/tmp/.ICE-unix/-l/.db/wipefs --library-path /var/tmp/.ICE-unix/-l/.db /var/tmp/.ICE-unix/-l/.db/x
然后我这样做了:
ls -lah /var/tmp/.ICE-unix/-l/.db/ total 14M drwxr-xr-x 2 postgres postgres 4.0K Jun 11 19:24 . drwxr-xr-x 3 postgres postgres 4.0K Jul 17 21:00 .. -rwxr-xr-x 1 postgres postgres 1.8M Nov 20 2017 libc.so.6 -rwxr-xr-x 1 postgres postgres 2.3M Nov 20 2017 libcrypto.so.1.0.0 -rwxr-xr-x 1 postgres postgres 15K Nov 20 2017 libdl.so.2 -rwxr-xr-x 1 postgres postgres 31K Nov 20 2017 libffi.so.6 -rwxr-xr-x 1 postgres postgres 88K Nov 20 2017 libgcc_s.so.1 -rwxr-xr-x 1 postgres postgres 898K Nov 20 2017 libgcrypt.so.20 -rwxr-xr-x 1 postgres postgres 511K Nov 20 2017 libgmp.so.10 -rwxr-xr-x 1 postgres postgres 1.2M Nov 20 2017 libgnutls.so.30 -rwxr-xr-x 1 postgres postgres 79K Nov 20 2017 libgpg-error.so.0 -rwxr-xr-x 1 postgres postgres 203K Nov 20 2017 libhogweed.so.4 -rwxr-xr-x 1 postgres postgres 232K Nov 20 2017 libhwloc.so.5 -rwxr-xr-x 1 postgres postgres 203K Nov 20 2017 libidn.so.11 -rwxr-xr-x 1 postgres postgres 39K Nov 20 2017 libltdl.so.7 -rwxr-xr-x 1 postgres postgres 1.1M Nov 20 2017 libm.so.6 -rwxr-xr-x 1 postgres postgres 95K Nov 20 2017 libmicrohttpd.so.10 -rwxr-xr-x 1 postgres postgres 215K Nov 20 2017 libnettle.so.6 -rwxr-xr-x 1 postgres postgres 43K Nov 20 2017 libnuma.so.1 -rwxr-xr-x 1 postgres postgres 399K Nov 20 2017 libp11-kit.so.0 -rwxr-xr-x 1 postgres postgres 136K Nov 20 2017 libpthread.so.0 -rwxr-xr-x 1 postgres postgres 77 Jun 11 19:21 libq.so.1 -rwxr-xr-x 1 postgres postgres 31K Nov 20 2017 librt.so.1 -rwxr-xr-x 1 postgres postgres 280 May 15 19:52 libs.so.1 -rwxr-xr-x 1 postgres postgres 419K Nov 20 2017 libssl.so.1.0.0 -rwxr-xr-x 1 postgres postgres 1.5M Nov 20 2017 libstdc++.so.6 -rwxr-xr-x 1 postgres postgres 75K Nov 20 2017 libtasn1.so.6 -rwxr-xr-x 1 postgres postgres 103K Nov 20 2017 libz.so.1 -rwxr-xr-x 1 postgres postgres 159K Nov 20 2017 wipefs -rwxr-xr-x 1 postgres postgres 2.1M Jun 3 15:04 x
在运行 PostgreSql 的其他系统中,该目录/tmp/.ICE-unix为空。
这是病毒吗?
答案1
它看起来绝对像是一个恶意软件;但由于它似乎没有依附于其他程序,而是作为独立实体“生存”,因此从技术上讲它不是一个病毒但可能虫。
/tmp/.ICE-unix将是用于与 X11 GUI 会话管理器通信的 UNIX 套接字的正常目录。/var/tmp/.ICE-unix与它无关,但显然使用类似的命名来使恶意软件的目录显得无趣。
它以用户身份运行的事实postgres表明它可能通过 Postgres 数据库引擎进入,并因此继承了 Postgres 进程的用户身份。
如果库名是真实的,这个恶意软件肯定携带了很多加密实现:libssl和libcrypto是OpenSSL,然后是,和libgnutls对,还有。它还有,这表明它可能正在运行某种基于HTTP的网络服务,可能是加密的。libhogweedlibnettlelibgcryptlibmicrohttpd
如果它消耗大量 CPU 能力,但似乎对任何文件都没有多大作用,我的第一猜测是挖矿机。但这只是猜测;它可能是更糟糕的事情。
通过以 root 身份运行lsof -p 10209,您可能能够看到此进程正在接触哪些文件以及它具有哪些网络连接。如果某些文件被标记为,只要文件仍由进程保持打开状态,(deleted)您可能仍可以通过 访问它们。/proc/10209/fd/
如果您想进一步调查,请获取恶意软件文件的副本并使用某些病毒扫描程序对其进行扫描。
无论如何,如果您有其他类似的系统,您应该认真考虑将互联网对它们的访问限制在最低要求,并更新它们。Ubuntu 12.04 的支持已于 2017 年 4 月结束,距今已有一年多。
对于这个特定的系统:您应该将其视为已感染且不再安全。这可能是系统上唯一的恶意软件,但很难真正确认这一点:清除系统并从备份中恢复通常要快得多,也容易得多。