私のコンピュータでこれらのコマンドを実行するものは何ですか?これは通常の動作ですか?

tag-icon tag-icon debian htop
私のコンピュータでこれらのコマンドを実行するものは何ですか?これは通常の動作ですか?

私はhtopを調べるのに時間を費やし、rootユーザーが短時間に一連の奇妙なプロセス/コマンドを実行したことを発見しました。以下は、htopに表示されるコマンドの完全なリストではありません。このDebianサーバーでは、TomcatとMySQLのみが実行されています。

ifconfig eth 0
ps -ef
bash
uptime
top
netstat -antop
pwd
echo "find"
gnome-terminal
whoami
sleep 1
id
su
cd /etc

ここに画像の説明を入力してください。

今はそれが悪いようではありませんか?
これらのプロセスを終了すると、常にランダムな文字列を含む新しいプロセスがすぐに作成されます。 ここに画像の説明を入力してください。

答え1

これはマルウェアのように見えますが、それ自体をうまく隠していません。注意深く書かれたマルウェアはカーネルを感染させ、タスクリストから完全に隠す準備をします。これは厄介に無害なかのように迷彩ですuptimeが、正しく行われておらず、uptimeそれほど長く実行されていないので、とにかく疑わしいです。

悪意のあるコードであることを確認した場合はお読みください感染したサーバーを処理する方法は?

システムを再インストールする必要があります。マルウェアが侵入しているようですが、削除できるかどうかはわかりません。一部は隠されている方が良いかもしれません。

再インストールする前に、マルウェアがどのようにそこに到達したかを調べてください。間違ったソースからプログラムをインストールしましたか?インストールしたプログラムに既知のセキュリティ脆弱性がありますか?ログ、ファイルの日付、コマンド履歴などを確認してください。

再インストールするときは、きれいなソースからすべてのソフトウェアを入手してください。プロバイダのHTTPSウェブサイトのチェックサムと比較して、インストールメディアのチェックサムを確認します。可能であれば、ディストリビューションのソフトウェアに固執し、チェックサムチェックを実行してください(Debianではデフォルト)。信頼できないソースのバイナリに分散バイナリ権限を付与します。インターネット接続サービスを有効にする前に、すべてのセキュリティ更新プログラムが適用されていることを確認してください。非distroソフトウェアをインストールする必要がある場合は、信頼できるソースからそのソフトウェアを検索し、既知のセキュリティ脆弱性のない最新バージョンをダウンロードして、できるだけ少ない権限を付与してください。強力なパスワードを使用してください(必要に応じてセキュリティゾーンで作業している場合は、モニターの横の付箋にパスワードを書き留めます)。

答え2

pstreeまたはを使用して、ps auxfどのプロセスが実行されているかを確認することもできます。 (おそらく、この出力は読みやすくなります。)

マルウェアが疑われる場合は、ネットワークで通信しようとしているプロセスも確認する必要があります。

また、これを使用して、netstat -tupln予期しないプロセスがリモート接続を受信して​​いることを確認することもできます。netstat -tupn現在の通信内容も表示されます。

また、起動スクリプトを調べ/etc/init.d/て、/etc/rc.*/珍しい項目があるかどうかを確認してください。コメントですでに提案したcrontabと同じです。

答え3

/boot/nnfwcjkwna 私にとっては良くありません。

プロセスのpidとタイプを確認してください。

ls -l /proc/pid番号/EXE

例:

ここに画像の説明を入力してください。

これにより、実行可能ファイルのフルパスを表示できます。そこに行き、ls -alを使って内容を確認してください。バイナリファイルを表示するには、strings file moreを使用してからスペースを使用して参照します。

新しく開かれたポートを表示し、Nestatおよび/またはlsofを使用して実行可能ファイルを識別します。

いくつかの安全アドバイスは次のとおりです。

  1. シングルユーザーモードの実行レベルを入力します。
  2. /etc/passwd および /etc/shadow を確認して、新しいユーザーと cron 構成ファイルが追加されていないことを確認してください。
  3. ルートパスワードを変更してください。
  4. 直接ルートログインと「su」コマンドは禁止されています。
  5. 新しいユーザーを追加し、sudoを実行できる唯一のユーザーとしてsudoに設定します。
  6. chmod 000 /usr/bin/sudo 次に、setfacl rx ルールを使用して、そのユーザーだけが sudo を使用できるようにします。
  7. chattr +iau /etc/passwd /etc/shadow
  8. 初期化ファイルを確認してください。そのファイルもそこにインストールされ、再起動時に再実行される可能性があります。
  9. 通常のランレベルに戻り、ネットワーキングを開始します。
  10. nmap -v -sS -O 127.0.0.1 -p "1-65500"

これらの少なくとも一部があなたに役立つことを願っています。

編集:以下に説明するように、これは恒久的な回避策ではありませんが、問題を調査するのに役立つ方法です。何が起こったのか分からず、単にシステムを再インストールすると、あまり役に立ちません。

答え4

~によるとこのソリューション/lib/libudev.so、あなたのウイルスはまたはにあります/lib/libudev4.so。以下を行う必要があります。

chattr -i /lib/libudev.so

次に、リンクで説明されているように、他のすべてのエントリを削除、再起動、および削除します。

あなたはインストールすることができます貝殻ウイルス

関連情報