ランダムコマンドを使用した不明なLinuxプロセス
topを実行すると、不明なプロセスがあります。
- プロセスを強制終了すると、別のランダムな名前でプロセスが再び来ます。
- rc.dレベルとinit.dを確認すると、このようなランダムな名前がたくさんあり、これもそこにあります。
- apt-get removeまたは何か他のものをしようとすると、それは再び来ています。
- ネットワークケーブルを接続すると、ネットワーク全体がロックされます。
どうすれば削除できるかわかりますか?
このサービス/プロセスは何ですか?
これはexeファイルで、削除するとまた来ます。
/proc/**pid**/exe => symbolic link to /usr/bin/hgmjzjkpxa
「netstat -natp」を確認すると、外部アドレスが98.126.251.114:2828であるという確立があります。 iptablesにルールを追加しようとすると、機能しません。しかし、このアドレスを再試行すると、このアドレスが66.102.253.30:2828に変わります。
OSはDebian Wheeze
それは1ドルだと思います https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ 。すべての症状は説明どおりです。
私たちも同じ問題に直面しています。私たちのサーバーもハッキングされており、サーバーがブルートフォースでsshログインを強制し、成功し、システムにトロイの木馬を挿入していることがわかりました。
以下は詳細です:
/ var/log/secure | grep 'Failed password' | grep '222.186.15.26' | wc -l 37772が開始しました
以下の時間にアクセスできました:222.186.15.26ポート65418 ssh2からrootのパスワードを受け入れました
IP Location Finderによると、このIPは中国のどこかに属しています。
修正手順:によって与えられた手順に従ってください:@rainysia
予防手順::
- 私によれば、誰かがあなたのサーバーをsshまたはaccesにしようとして何度も失敗したときに、いくつかの通知managemnetがそこにあるはずです。
- Aws、gcp、Azureなどのクラウドプラットフォームを使用している場合は、ネットワークレートコントローラーが必要です。
私には2つのオプションがありました。
/ usr/bin内のファイルをいじくっているトロイの木馬の場合、私はこれを実行しました:echo> /lib/libudev.soトロイの木馬のPIDを強制終了します
/ binをいじくり回している場合(ここでは、chattr + i/binの割合で常に5-10のプロセスが実行されており、rainysiaによって言及された手順に従ってください)