継続的にビットコインを採掘し、インスタンスの処理能力を使用するマルウェアをec2インスタンスで発見しました。プロセスを正常に識別しましたが、削除または終了できません。
このコマンドを実行したところ、
watch "ps aux | sort -nrk 3,3 | head -n 5"
私のインスタンスで実行されている最初の5つのプロセスが表示されました。プロセス名が「」であることを確認しました。バシド'これはCPUの30%を消費します。プロセスは次のとおりです。
bashd -a cryptonight -o stratum+tcp://get.bi-chi.com:3333 -u 47EAoaBc5TWDZKVaAYvQ7Y4ZfoJMFathAR882gabJ43wHEfxEp81vfJ3J3j6FQGJxJNQTAwvmJYS2Ei8dbkKcwfPFst8FhG -p x
kill -9 process_idコマンドを使用してプロセスを終了しました。 5秒後にプロセスが再開されます。
答え1
ソフトウェアをインストールしていない場合、またはクラウドインスタンスが破損していると思われる場合:オフラインにしてから削除し、最初から再構築してください(ただし、まず下のリンクを読んでください)。それはもはやあなたのものではなく、あなたはもはやそれを信じることができません。
バラより「感染したサーバーを処理する方法」ServerFault でコンピュータが破損している場合の対処方法と操作方法の詳細をご覧ください。
上記のリストに記載されていることと思うことに加えて、あなたが誰であるか、どこにいるかによって、次のことが発生する可能性があることに注意してください。報告する法的義務ローカル/中央ITセキュリティチーム/従業員および/または組織内の当局(おそらく特定の期間内でも)。
たとえば、スウェーデンでは(2015年12月から)、すべての州立機関(大学など)がIT関連事故を24時間以内に報告する義務があります。あなたの組織には、これを行う方法に関する書面による手続きがあります。
答え2
このコマンドは、システムのプログラム内でMoneroを採掘するために使用されるコマンドと同じですbashd(tuto:ccminerccminer-cryptonightMonero - CCminer - Linuxのcryptonight GPUマイナー)、bashdプログラムソースコードのエイリアスを指定または変更することによって得られます。
Cryptonightマルウェア:プロセスを終了するには? (マルウェア専門家のWebページで見つけた情報)
これは私たちがcryptonightと呼ぶもう一つの新しいマルウェアであり、以前見たことがないものです。実行可能なLinuxプログラムをダウンロードし、httpデーモンをバックグラウンドに隠して、プロセスのリストを一目で見つけるのを難しくします。
手動除去プロセス
cryptonightパラメーターを開始する実行中のプロセスhttpdがあるかどうかを検索できます。
ps aux | grep cryptonight
その後、root アクセス権を持ちます。 (代わりに終了する必要があるプロセスkill -9 process_id)cryptonightbashd
安全のためには、次のことを行う必要があります。
- システムの再インストール
- リモート攻撃の脆弱性を回避するには、システムにパッチを適用してください。SambaCryの脆弱性を通じて暗号通貨を採掘するためにLinuxサーバーをハイジャックしました。
- ユーザーが制限されたコマンドを実行できないように制限する