web-dev-qa-db-ja.com

ランダムコマンドを使用した不明なLinuxプロセス

topを実行すると、不明なプロセスがあります。

enter image description here

  • プロセスを強制終了すると、別のランダムな名前でプロセスが再び来ます。
  • rc.dレベルとinit.dを確認すると、このようなランダムな名前がたくさんあり、これもそこにあります。
  • apt-get removeまたは何か他のものをしようとすると、それは再び来ています。
  • ネットワークケーブルを接続すると、ネットワーク全体がロックされます。

どうすれば削除できるかわかりますか?

このサービス/プロセスは何ですか?

これはexeファイルで、削除するとまた来ます。

/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa

「netstat -natp」を確認すると、外部アドレスが98.126.251.114:2828であるという確立があります。 iptablesにルールを追加しようとすると、機能しません。しかし、このアドレスを再試行すると、このアドレスが66.102.253.30:2828に変わります。

OSはDebian Wheeze

12
user1424059

それは1ドルだと思います https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ 。すべての症状は説明どおりです。

2
Colin Rosenthal

私たちも同じ問題に直面しています。私たちのサーバーもハッキングされており、サーバーがブルートフォースでsshログインを強制し、成功し、システムにトロイの木馬を挿入していることがわかりました。

以下は詳細です:

/ var/log/secure | grep 'Failed password' | grep '222.186.15.26' | wc -l 37772が開始しました

以下の時間にアクセスできました:222.186.15.26ポート65418 ssh2からrootのパスワードを受け入れました

IP Location Finderによると、このIPは中国のどこかに属しています。

修正手順:によって与えられた手順に従ってください:@rainysia

予防手順:

  1. 私によれば、誰かがあなたのサーバーをsshまたはaccesにしようとして何度も失敗したときに、いくつかの通知managemnetがそこにあるはずです。
  2. Aws、gcp、Azureなどのクラウドプラットフォームを使用している場合は、ネットワークレートコントローラーが必要です。
0
Sahil Aggarwal

私には2つのオプションがありました。

  1. / usr/bin内のファイルをいじくっているトロイの木馬の場合、私はこれを実行しました:echo> /lib/libudev.soトロイの木馬のPIDを強制終了します

  2. / binをいじくり回している場合(ここでは、chattr + i/binの割合で常に5-10のプロセスが実行されており、rainysiaによって言及された手順に従ってください)

0
Zatarra