web-dev-qa-db-ja.com

AWS EC2インスタンスでマイナードマルウェアをどのように殺すことができますか? (侵害されたサーバー)

Ec2インスタンスで、ビットコインを継続的にマイニングし、インスタンスの処理能力を使用してマルウェアを見つけました。私はプロセスを識別しましたが、削除して強制終了することはできませんでした。

私はこのコマンドを実行しましたwatch "ps aux | sort -nrk 3,3 | head -n 5"これは、インスタンスで実行されている上位5つのプロセスを示しています。そこから、CPUの30%を消費しているプロセス名 'bashd'があることがわかりました。プロセスは

bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x

kill -9 process_idコマンドを使用して、このプロセスを強制終了しました。 5秒後、プロセスが再び開始されました。

26
Nadeem Ahmed

そこにソフトウェアを配置しなかった場合、またはクラウドインスタンスが危険にさらされていると思われる場合:オフラインにして削除し、最初から再構築します(ただし、最初に以下のリンクをお読みください)。 それはもうあなたのものではありません、もうあなたはそれを信頼することができません

マシンのセキュリティが低下した場合の対処法と動作の詳細については、ServerFaultの "セキュリティが侵害されたサーバーの対処方法" を参照してください。

上記にリンクされたリストで行うことと考えることに加えて、あなたが誰で、どこにいるかによっては、報告する法的義務があることに注意してくださいit組織内のローカル/中央ITセキュリティチーム/担当者および/または当局へ(おそらく特定の時間枠内でも)。

たとえば、スウェーデンでは(2015年12月以降)、すべての州の機関(大学など)は24時間以内にIT関連の事件を報告する義務があります。組織は、これを行う方法について文書化された手順を持っています。

83
Kusalananda

このコマンドbashdは、システムのMoneroをマイニングするccminer-cryptonightプログラムのccminerと同じです(tutoがあります: Monero-Ccminer-cryptonight GPU miner Linux )では、bashdはエイリアスまたはプログラムのソースコードを変更することによって取得されます。

Cryptonight Malware:プロセスを強制終了する方法? (マルウェア専門家のWebページにある情報)

これもまた、cryptnightnightと呼ばれる新しいマルウェアで、これまでに見られなかったものです。これは、実行可能なLinuxプログラムをダウンロードして、そのhttpデーモンをバックグラウンドで隠します。これは、一見するとプロセスリストを見つけるのが困難です。

手動の削除プロセス

Cryptonightパラメータを開始する実行中のプロセスhttpdがあるかどうかを検索できます。

ps aux | grep cryptonight

次に、ルート権限でkill -9 process_idを実行します(cryptonightではなくbashdのプロセスを強制終了する必要があります)。

安全のために、次のことを行う必要があります。

  1. システムを再インストールします
  2. リモート攻撃の脆弱性を防ぐためにシステムにパッチを適用します: LinuxサーバーがSambaCryの脆弱性を介して暗号通貨をハイジャックします
  3. 制限されたコマンドの実行をユーザーに制限する
12
GAD3R